В связи с появившейся
информацией о взломе нашей компании, считаем своим долгом поделиться с Вами первыми
результатами внутреннего расследования. Проведённая проверка показала:
1.
Злоумышленники получили доступ к
хостинг-панели провайдера. На этом хостинге находился сайт компании (не был
взломан!) и архивные копии внутренней системы компании с данными на начало 2013
года. На сегодняшний день эта система не используется, а информация не является
актуальной. Вся информация с начала 2013 года хранится на собственном
корпоративном хостинге с обязательной двухфакторной аутентификацией. Таким образом, ни о каком контроле с 2012 года, как
заявили хакеры, речи идти не может. Вся их добыча – часть архива с устаревшей
информацией.
2.
На более чем 200 из 300 компьютеров сотрудников
компании была проведена массированная атака с
украинских IP-адресов.
Несмотря на наличие антивирусной защиты как на конечных точках, так и на
почтовом сервере, скомпрометированным оказался 1
компьютер линейного менеджера. Вследствие работы политик по разграничению прав
доступа, злоумышленникам удалось получить доступ лишь к почтовой переписке
менеджера, чем объясняется наличие выложенных в публичный доступ скриншотов со
«свежими датами». Скомпрометированной оказалась некоторая документация по примерно
40 клиентам компании из 1200. На данный момент заражённая машина, а также те,
которые могли контактировать с ней, выведены из эксплуатации, отключены от Сети
и проходят проверку.
Хотелось бы подчеркнуть, что
заявление хакеров о контроле с 2012 года и заражении ссылок на скачивание ПО
(равно как и самого ПО) не соответствует действительности.
В качестве подтверждения этих
слов и для того, чтобы развеять сомнения наших клиентов в компрометации их
корпоративных сетей и ПО SearchInform,
предлагаем выполнить следующие действия:
1.
Сверить хэш-суммы скачанных архивов с дистрибутивами
ПО SearchInform с эталонными значениями (например, с помощью http://www.md5summer.org/). Мы готовы
предоставить хэш-суммы и на более ранние версии ПО по запросу на номер
+7 495 721 84 06, доб. 125. Либо свяжитесь с техническим
специалистом, сопровождающим вашу компанию.
Также сообщаем, что build-server, отвечающий за формирование
версий ПО, находится в изолированной среде без возможности подключения извне.
Все компоненты агента EndpointSniffer
обладают цифровой подписью, что позволяет удостовериться в их целостности.
2.
Также вы можете самостоятельно удостовериться,
что «КИБ SearchInform»
не пересылает никакие данные за пределы вашей корпоративной сети. Все данные
остаются у компании. Никакая информация «третьим лицам» не передаётся. В
противном случае, наш софт не прошёл бы сертификацию ФСТЭК России, ОАЦ Беларуси
и ДСТСЗИ СБ Украины. «КИБ SearchInform»
работает с чётким перечнем портов. Список портов мы готовы предоставить по
запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с
техническим специалистом, сопровождающим вашу компанию.
Для проверки отсутствия
внешних подключений можно использовать анализаторы трафика низкого уровня
(например, с помощью http://www.wireshark.org/).
Мы благодарны злоумышленникам
за проявленный интерес к нашей компании. Любой опыт ценен, но негативный ценен
вдвойне, так как такие уроки не забываются очень долго. Приятно осознавать себя
«главной шпионской компанией, контролируемой ФСБ, и поставляющей данные в
СОРМ». Мы не отрицаем своё лидерство на рынке, но с остальной частью
высказывания не можем согласиться.
Комментариев нет:
Отправить комментарий