Как стать автором
Обновить

Анализ доступных данных январской атаки, в которой на виртуальные угрозы приходилось реагировать реально

Время на прочтение7 мин
Количество просмотров12K


В прошлые годы проводились централизованные атаки с использованием IP-телефонии, теперь новый виток, но уже с использованием электронной почты. Проанализируем доступные электронные данные по этой атаке.

Обновлена информация на 01.02.2019.





Проблема:

2017 год: «Анонимность звонка обеспечивается тем, что злоумышленник, используя IP-телефонию, может подставлять любой номер звонящего, в том числе номера реальных непричастных абонентов из любой точки мира. Эта возможность IP-телефонии затрудняет работу силовиков. Подключение голосового шлюза IP-телефонии к сетям операторов связи часто происходит нелегально, с подменой номера звонящего, IP-адресов и прочих идентификаторов»

2019 год: По информации пресс-служб администраций и от персонала лечебных учреждений и школ разных областей и городов, на их электронную почту приходили сообщения с угрозами и требованием выполнить определенные действия.

Правоохранительные органы совместно с органами исполнительной власти начинали действовать в соответствии со своими полномочиями, что означало проверку каждого сообщения.

В учреждениях, которые значились в тексте писем, начинались проводиться экстренные мероприятия.

Ни один из фактов по полученным угрозам не подтвердился, работа учреждений возобновлена в полном объеме.

Исходные данные:
Попробуем абстрагироваться от ситуации в целом и пройтись по пунктам из некоторых опубликованных в открытом доступе электронных писем, фото которых представлены ниже.













Данных по информации по «служебным заголовкам» в письмах нет.

Анализ данных:

Все электронные письма были отправлены путем использования бесплатного почтового сервиса mailfence dot com, позиционирующего себя как «защищенный и конфиденциальный сервис электронной почты.»

В данный момент некоторые провайдеры в РФ ограничили доступ к этому сервису.

Попытаемся зайти на этот сервис и зарегистрироваться. Получаем вот такой отказ:



С использованием VPN-плагина можно зайти немного дальше и пройти регистрацию:



Однако, нас тут ожидает вот такой выбор из возможных адресов электронной почты.



Таким образом, есть подозрение, что электронные адреса, которые использовались в атаке, были достаточно давно созданы в этой системе, когда была такая возможность ранее выбрать другое имя домена. Это означает, что атака была не спонтанная, а адреса намного ранее были созданы некоторым пулом.

А зачем нам нужно создавать почтовый ящик в этом сервисе?

При регистрации нужно указать свой работающий электронный адрес, на который пришлют ссылку на подтверждение регистрации в сервисе.

Далее, проверяем, как происходить процесс сброса пароля в этом сервисе.

Enter your username and/or your e-mail address:
Вводим после имя пользователя или электронную почту (в тестовом случае у нас mail.ru) и получаем:

To reset your password, an e-mail was sent to:
sin***@***mail.ru

Таим образом, мы можем узнать первые три символа имени пользователя и последние 5 символов почтового домена второго уровня. (спасибо michaelkl за комментарий!)

Причем, при запросе сброса пароля можно указать имя пользователя или электронную почту.

А по данным адресов с отправленных электронных писем, при запросе сброса пароля можно указать только электронную почту.



putin.fsb2@mailfence.com
To reset your password, an e-mail was sent to:
kul***@***utoo.email



just.bro@mailfence.com
To reset your password, an e-mail was sent to:
bbl***@***imail.com

Единственная ниточка ведет на gmail.com:



kor.bol@mailfence.com
to reset your password, an e-mail was sent to:
vov***@***gmail.com

Тут искать полный адрес можно, но долго:



Этот адрес, кстати, выбивается из всего списка именно тем, что имеет связь с gmail.com.

Еще один адрес там же:
kiano.lok@mailfence.com
To reset your password, an e-mail was sent to:
put***@***gmail.com

Есть подозрение, что это имитатор, как вариант, который на волне рассылок тоже внес вклад свой, но с корыстными целями, чтобы в суматохе событий совершить на месте свой злой умысел (кража, удаление данных, когда никого нет рядом и прочее).

Далее, если где-то в адресе есть цифры, то, немного их меняя или убирая, мы можем проверить еще такие адреса:

putin.fsb@mailfence.com
To reset your password, an e-mail was sent to:
poc***@***cloud.info

putin.fsb1@mailfence.com
o reset your password, an e-mail was sent to:
joo***@***email.com

putin.fsb3@mailfence.com
To reset your password, an e-mail was sent to:
bud***@***email.com

putin.fsb4@mailfence.com
To reset your password, an e-mail was sent to:
bep***@***itnow.com

Таким образом, можно ожидать еще получения писем с этих электронных адресов.

И тут все же для регистрации в mailfence дот com использовался сервис temp-mail точка org,


В итоге, два почтовых сервиса разных использовалось в восьми электронных адресах.

Дополнение: новые письма так же приходят с бесплатного почтового сервера mail dot bg.

jekson.lo1@mailfence.com
o reset your password, an e-mail was sent to:
pet***@***mail.bg

Данные от МосИгра:
habr.com/ru/company/mosigra/blog/439036
laki.kak@mailfence.com
To reset your password, an e-mail was sent to:
ale***@***mail.uk

Как же выбирались жертвы для атаки, судя по спискам адресатов видно, что адреса копировались с сайтов госучреждений или «вбивались» вручную, ведь эти данные есть в открытом доступе.

Диапазон одновременных получателей в письмах (2-6-10) небольшой, чтобы почтовые серверы не ограничили рассылку и письма не попадали в папку «Спам».

Отрывки из служебных заголовков:
Received: from wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
(Client certificate not present)
Return-Path: putin.fsb3@mailfence.com
domain of mailfence.com designates 212.3.242.68 as permitted sender,
rule=[ip4:212.3.242.64/26]) smtp.mail=putin.fsb3@mailfence.com; dkim=pass
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mailfence.com;
X-Priority: 3
Reply-To: Putin FSB <putin.fsb3@mailfence.com>
From: Putin FSB <putin.fsb3@mailfence.com>
X-Mailer: ContactOffice Mail
X-ContactOffice-Account: com:188677102

Received: from mxfront13g.mail.yandex.net ([127.0.0.1])
by mxfront13g.mail.yandex.net with LMTP id a6sJli0I
for <info@mosigra.ru>; Tue, 5 Feb 2019 11:00:14 +0300
Received: from wilbur.contactoffice.com (wilbur.contactoffice.com [212.3.242.68])
by mxfront13g.mail.yandex.net (nwsmtp/Yandex) with ESMTPS id jttuF4mQRo-0DAa1MBL;
Tue, 05 Feb 2019 11:00:13 +0300
(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
(Client certificate not present)
Return-Path: laki.kak@mailfence.com
X-Yandex-Front: mxfront13g.mail.yandex.net
X-Yandex-TimeMark: 1549353613
Authentication-Results: mxfront13g.mail.yandex.net; spf=pass (mxfront13g.mail.yandex.net: domain of mailfence.com designates 212.3.242.68 as permitted sender, rule=[ip4:212.3.242.64/26]) smtp.mail=laki.kak@mailfence.com; dkim=pass header.i=@mailfence.com
X-Yandex-Spam: 2
X-Yandex-Fwd: MzM4MDAwNDcyNDYzOTM2Mzg1OSwyMTg3Njc1NDQ5ODIwMzIwNzMz
Received: from ichabod.co-bxl (ichabod.co-bxl [10.2.0.36])
by wilbur.contactoffice.com (Postfix) with ESMTP id 16350329D;
Tue, 5 Feb 2019 09:00:13 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mailfence.com;
s=20160819-nLV10XS2; t=1549353613;
bh=gADFkQslj8dDCkx+Y9OhJNmeT7fosViIkpUDPPk1UO8=;
h=Date:To:Subject:Reply-To:From:From;
b=Th6eWs74xYE35Y5pouZD/9vbA/oJZ6jyrtzWrMs3XilthYjL3DnwVm1SiysHGHr4J
6ROHYI/HMAnLOJfv+JsKC574UzsmjU1yhikwYLakMPTWKiqcR6knC4mXkfWFm/fXHU
LPod1MeMeNlD1rqEXnkr8wJk4GX/s6DzCUVxC5qzcv6ChEwa5DJOvIg0mxMxP9UfMr
LaPBQIGOiELGYfFOWi8XwGW1BDFfKXCgE0vxYYo8lqgXuXN720BHTv+CksccUdo44v
KyDZEQYqM7J3JhjL8GCiaWxfLBbEkLqYCHnRUEGyKbC2pqT23c2TaafXXW7g5raN63
WyVocjjQbTDpA==
Date: Tue, 5 Feb 2019 09:00:10 +0100 (CET)
Message-ID: <790975597.619629.1549353610731@ichabod.co-bxl>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64
To: info@torrogrill.ru, kapitoly_adm@cosmik.ru, kashirskaya.enkatc@enka.com,
6112158@re-reserved.ru, info@mosigra.ru, info@toy.ru,
filion@minisolife.ru, 6412027@re-reserved.ru, info@modi.ru,
office@melonfashion.ru
Subject: =?utf-8?B?0L7RgtCy0LXRgiDQvdCwINC30LDQv9GA0L7RgQ==?=
X-Priority: 3
Reply-To: laki kak <laki.kak@mailfence.com>
From: laki kak <laki.kak@mailfence.com>
X-Mailer: ContactOffice Mail
X-ContactOffice-Account: com:190697286
X-Yandex-Forward: c4503a689c840ee5c1704413e6045827


Рекомендации:

Системным администраторам учреждений, по возможности, чаще проверять электронную почту, создать фильтр для писем из «mailfence dot com» в отдельную папку и сразу сообщать о них, согласно своих должностных инструкций, сохранять служебные заголовки и все данные для дальнейшего анализа.

Тактика:

Так же вопрос – почему так много используется электронных адресов в рассылках?

Ответ прост – ахиллесова пята используемого сервиса – это монетизация услуг и возможность регистрации через одноразовые почтовые ящики (сервис одноразовой почты).

1. Так что, скорее всего, все аккаунты, используемые для рассылки, сейчас на бесплатном плане, который включает в себя только 500 MB emails.

Если этот ящик «закидать» сообщениями с вложениями и переполнить, то его сначала придётся чистить, чтобы совершить далее рассылку. Платные планы – это уже оплата услуг и дополнительное открытие своих банковских данных.

Так что, Вы можете помочь в этом, отправив по адресам ниже как можно объемнее письма.

putin.fsb@mailfence.com
putin.fsb1@mailfence.com
putin.fsb2@mailfence.com
putin.fsb3@mailfence.com
putin.fsb4@mailfence.com

just.bro@mailfence.com
kor.bol@mailfence.com
kiano.lok@mailfence.com
jekson.lo1@mailfence.com
laki.kak@mailfence.com

2. Перехват управления почтовыми ящиками с помощью сброса пароля и подбора логина через сервис одноразовой почты.

Теоретически, существует возможность получить доступ к почтовым ящикам, приведенным в п.1, если получится выполнить большой объем действий:
— подобрать нужный логин и домен в temp-mail точка org
— послать команду сброса пароля на адрес mailfence дот com
— получить письмо о сбросе пароля в temp-mail точка org
— зайти на аккаунт в mailfence дот com

Данные для подбора (где *- это один и более символов (1-4 латинские буквы скорее всего) в имени пользователя):

Сложная ситуация:
сброс пароля — putin.fsb1@mailfence.com
сервис одноразовой почты — joo*@321-email.com
сервис одноразовой почты — joo*@braun4email.com
сервис одноразовой почты — joo*@utooemail.com

сброс пароля — putin.fsb3@mailfence.com
сервис одноразовой почты — bud*@321-email.com
сервис одноразовой почты — bud*@braun4email.com
сервис одноразовой почты — bud*@utooemail.com

Тут только один домен нужно проверять:

сброс пароля — putin.fsb2@mailfence.com
сервис одноразовой почты — kul*@utoo.email

сброс пароля — putin.fsb4@mailfence.com
сервис одноразовой почты — bep*@4senditnow.com

сброс пароля — just.bro@mailfence.com
сервис одноразовой почты — bbl*@heximail.com

3. Как вариант, путем перебора (нажимая в сервисе кнопку «delete») штатных предлагаемых логинов (длина 4-8 символов) найти из предлагаемых новых логином то, которые начинаются на kul / bep / bbl / bud / joo.

Пункт 3 можно реализовать с помощью программных методов.

Если кто заинтересуется и сможет найти доступ хоть до одного почтового ящика путем большого перебора данных по логину в сервисе одноразовой почты и сможет (заблокировать) остановить рассылку с него — будет замечательно.

На лингвистическом и стилистическом анализе содержания писем останавливаться не будем, хотя, вкупе с орфографическими ошибками и некоторыми созвучными слогами в тексте, тут есть над чем подумать. Однако, возможно, эту диалектику ввели в текст специально для компрометации.

Эта статья относится к аналитической тематике, прошу в комментариях придерживаться правил ресурса и не выходить за общепринятые рамки
Теги:
Хабы:
Всего голосов 22: ↑18 и ↓4+14
Комментарии6

Публикации

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань