Комментарии 9
Иронично (с)
tldr: Доктор веб взломали. Сами сотрудники в панике отключили сервер. Больше ничего не известно
началась в субботу 14 сентября 2024 года. Мы внимательно за ней наблюдали и держали происходящее под контролем.
и заманивали интрудеров глубже на свою территорию. как СССР летом 1941.
16 сентября 2024 года наша компания зафиксировала
двое суток заманивали. а потом отключили серверы и ловушка захлопнулась.
признаки внешнего неправомерного воздействия на IT-инфраструктуру.
если неправомерного, то необходимо подать заявление о совершенном преступлении в полицию и/или исковое заявление в суд.
принимаем меры для восстановления стабильной работы всех систем.
если восстанавливать стабильно уязвимое состояние, то может лучше не надо ?
Мы не узнаем, что там именно было (если конечно база не вылезет где-нибудь на форумах), но могло быть так:
Кто-то проник в сеть. Honeypot сработал. Или алерт какой-нибудь. Чем просто отрубать хакера, лучше посмотреть, куда и как он лезет, что пытается делать. Как только началось что-то плохое (например увидели, что всё-таки он получил права админа/рут, или дополз до какой-то базы), то врубили фаервол и отключили сервер он интернета.
Или прям все подумали, что кучка бородатых админов в засаленых свитерах в панике вырубала раки из розеток?
Мы не узнаем, что там именно было
поэтому накидаем максимально унизительных гипотез. "сапожник без сапог" это позорно.
а могли бы красиво соврать "большой сбой по питанию, крысы погрызли изоляцию и геройски самоубились электричеством , ИБП отработали свое и геройски умерли, дизели не завелись."
Honeypot сработал. Или алерт какой-нибудь.
если там таковые были заготовлены. что сомнительно. не их специальность.
Чем просто отрубать хакера, лучше посмотреть, куда и как он лезет, что пытается делать.
допустим. хотя это тоже не их специальность.
но смотреть двое суток - как по мне слишком долго,
у меня бы терпения не хватило.
Как только началось что-то плохое [...], то врубили фаервол
вообще-то фаерволы включены всегда и если админ не лох - то запрещают все что можно и пишут все что можно.
отключили сервер он интернета.
самое тонкое место.
зачем отключать продуктивные серверы и прочую инфру ?
зачем останавливать сборку баз ?
значит интрудеры дотянулись и туда.
Отключили сервера обновлений просто до кучи?
Или был реальный риск что в обновления уже попало что-то интересное?
ЗЫ: раньше не задумывался о таком но ведь антивирусник на компе имеет прав больше чем админ и может с интернета обновится, процесс сборки обновлений и их размещения на серверах должны неустанно дяденьки контролировать из структур.
14 сентября «Доктор Веб» подверглась целевой атаке, в IT-инфраструктуре компании произошёл инцидент с нарушением ИБ