«В основе любой атаки – первоначальная разведка инфраструктуры. Она обычно проходит "шумно", поэтому наша команда успешно выявляет и блокирует IP-адреса атакующих. Кроме того, мы стараемся максимально автоматизировать процесс их блокировки. Это может усложнять разведку и проведение следующих этапов реализации атак», — пояснила руководитель группы внутреннего мониторинга Innostage Гузель Хисматуллина.
Всплески атак в октябре наблюдались несколько раз: 8, 9, 10, 21 и 22 октября. В целом блокировке в октябре подверглись несколько десятков IP-адресов. Специалисты компании проводили ее вручную и автоматически при помощи средств защиты информации.
В программе открытых кибериспытаний Innostage на платформе Standoff Bug Bounty в октябре зарегистрировалось 97 новых участников, тогда как в сентябре — 119. В целом на BB-программе от Innostage к началу ноября зарегистрировалось 860 этичных хакеров.
Как и месяцем ранее, в октябре основные силы хакеры направляли на разведку периметра. Для проведения следующих этапов атак наряду с прежними сценариями они использовали новый — поиск существующих учетных записей методом перебора (без проведения OSINT). Исследователи собрали базу популярных в Татарстане имен и фамилий, автоматизировали составление логина на основании этой базы и выполнили их пробы на веб-приложениях компании. Среди использующихся атакующими техник чаще всего встречались попытки эксплуатации RCE-уязвимостей.
Одним из инструментов, которые хакеры часто использовали в октябре для аудита безопасности веб-приложений компании, была утилита FFUF (Fuzz Faster U Fool). С ее помощью атакующие автоматизировали процесс фаззинга, обнаруживая скрытые файлы и директории, а также проверяя различные параметры URL и HTTP-заголовки.
Среди необычных техник можем выделить подготовку исследователем вредоносных пакетов innostage, innostage_group и cyberart в публичном репозитории Python-пакетов – PyPi. Пакеты содержали в себе реверс-шеллы и были обнаружены специалистами PT Expert Security Center (PT ESC) компании Positive Technologies. Исследователь явно вдохновлялся опытом багбаунти в компании «Яндекс».
Изменения произошли и в перечне стран, из которых на Innostage производится большая часть атак. В сентябре первое место в нем занимала Франция, второе с небольшим отрывом — Россия. В октябре лидером по количеству атак стала Россия, на втором месте оказались Нидерланды. Однако его Нидерланды заняли с большим отрывом от России. Эти изменения аналитики компании связывают с ростом популярности программы ОКИ и активности ее участников, помогающих Innostage проверять и повышать киберустойчивость бизнеса.
Напомним, что запуск проверки этичными хакерами в формате открытых кибериспытаний состоялся в мае 2024 года. В сентябре Innostage объявила о повышение вознаграждения до 10 млн рублей за реализацию недопустимого события в рамках программы. Им является перевод со счетов компании суммы до 2 тысяч рублей на любой подконтрольный счет, инициированный хакером и проведенный через банк. Ранее за реализацию недопустимого события компания обещала вдвое меньшее вознаграждение.
На пути к реализации главного недопустимого события предусмотрен ряд промежуточных действий, за которые компания также готова выплачивать вознаграждения. Среди значимых ходов — завладение учетной записью с закреплением на корпоративной рабочей станции.
