Компания Resecurity, специализирующаяся на кибербезопасности, заявила, что намеренно заманила злоумышленников, связанных с альянсом Scattered Lapsus$ Hunters (SLH), в ловушку типа “медовая сеть” после того, как группа заявила о взломе компании и краже внутренних данных и данных клиентов.
«Понимая, что злоумышленник ведет разведку, наша команда настроила учетную запись-ловушку», — заявили в Resecurity в своем блоге, указав на предварительную осведомленность о действиях злоумышленника. «Это привело к успешному входу злоумышленника в одно из эмулированных приложений, содержащих синтетические данные».
Злоумышленники, утверждающие, что являются “ShinyHunters” из SLH, первоначально опубликовали скриншоты и заявили, что взломали системы Resecurity, но вскоре после заявления компании о “медовой сети”, настоящая группа подтвердила, что не имеет отношения к атаке.
«Мы хотели бы объявить, что получили полный доступ к системам Resecurity», — сообщается в сообщении Telegram. «В течение нескольких месяцев REsecurity пыталась использовать методы социальной инженерии против нас и групп, которые мы знаем. Когда ShinyHunters выставили на продажу базу данных финансовой системы Вьетнама, их сотрудники притворились покупателями, чтобы получить бесплатные образцы и больше информации от нас».
В качестве доказательства злоумышленники приложили скриншоты внутренней переписки сотрудников Resecurity в экземпляре для совместной работы Mattermost.
Что, по словам Resecurity, произошло на самом деле
По данным Resecurity, ее группы безопасности наблюдали разведывательную активность, направленную на внешние сервисы, прежде чем злоумышленники обнародовали свои претензии. В ответ компания заявила, что направила активность в среду-ловушку, заполненную синтетическими данными, предназначенными для имитации внутренних систем.
Ловушка содержала сфабрикованные записи о потребителях и имитированные данные о платежах, структурированные таким образом, чтобы выглядеть реалистично, оставаясь при этом полностью изолированными от производственной среды Resecurity. Компания заявила, что это позволило злоумышленникам поверить, что они получили значимый доступ, и в то же время позволило защитникам отслеживать активность, не раскрывая реальные данные.
«Для синтетических данных мы использовали два разных набора данных: более 28 000 записей, имитирующих потребителей, и более 190 000 записей о платежных транзакциях, и сгенерировали сообщения», — говорится в сообщении Resecurity. «Примечательно, что в обоих случаях мы использовали уже известные скомпрометированные данные, доступные в Dark Web и на подпольных торговых площадках, потенциально содержащие PII, что делает данные еще более реалистичными для злоумышленников».
Resecurity добавила, что злоумышленники взаимодействовали с фиктивной средой в течение длительного периода, генерируя автоматические запросы, которые дали представление об их инструментах и методах.
Доказательств реального взлома по-прежнему мало
Несмотря на подробный отчет Resecurity, злоумышленники не подкрепили свои первоначальные заявления дополнительными проверяемыми доказательствами. После публикации скриншотов не появилось никаких подтвержденных утечек из внутренних систем или фактических данных клиентов. Независимый анализ различных исследователей в области кибербезопасности подтверждает утверждение Resecurity о том, что производственные активы не были скомпрометированы.
С другой стороны, собственный анализ Resecurity моделей взаимодействия соответствует тактике распространенных злоумышленников. Согласно расследованию компании, активность началась с разведки общедоступных систем, что соответствует техникам MITRE ATT&CK, таким как активное сканирование (T1595) и сбор информации о хосте жертвы (T1592), на основе сетевой телеметрии и данных журналов. После публикации заявлений представитель, утверждающий, что представляет ShinyHunters, отрицал причастность группы, заявив, что она не несет ответственности за деятельность, которую Resecurity приписывает предполагаемым злоумышленникам.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Shweta Sharma
