Нож в спину: как работают «доверительные атаки»
🔓 Рынок IT-аутсорсинга стремительно растёт, а с ним увеличивается и риск атак через «доверительные отношения» (Trusted relationship attacks). По нашей версии, только в прошлом году эти атаки вошли в тройку самых популярных.
💀 В ходе таких атак злоумышленники сначала получают доступ к инфраструктуре поставщика услуг, а затем проникают во внутреннюю сеть клиента, если им удаётся скомпрометировать учётные данные для подключения. Таким образом хакеры с минимальными усилиями реализуют масштабную атаку. Ведь взлом одного подрядчика влечёт за собой риски для всех его клиентов.
🚪 Обычно через небольшие компании-подрядчики таким атакам подвергаются более крупные организации. Обнаружить их на ранних этапах сложно: злоумышленники подключаются к компании-клиенту через учётную запись, выданную подрядчику, и инициируют подключения с его IP-адресов. Это выглядит как легитимные действия сотрудников подрядчика за единственным отличием: для проведения атак хакеры чаще всего выбирают нерабочее время (поздний вечер или ночь).
🎯 Сценарий атак «через доверительные отношения», с которыми мы сталкивались в инцидентах этого и прошлого года, был примерно одним и тем же: после взлома сети подрядчика атакующие находили учётки для подключения к VPN его клиентов; подключившись к инфраструктуре новых жертв, злоумышленники создавали тоннель с помощью ngrok, чтобы закрепить подключение через Интернет без VPN. Но иногда такое закрепление в атакованной системе происходило с использованием утилиты для удаленного управления AnyDesk.
Так что стоит следить за всем, что происходит во внутренних сетях, и да пребудет с вами сила безопасности. #ИБ_шпаргалка #кибератаки
