ФИЗИКА С ЗАДЕРЖАНИЕМ ФСБ
Все действия были регламентированы и выполнялись в рамках проекта. Все
совпадения описанные в данной статье являются случайными, а персонажи
вымышленными.
Кейс по физическому пентесту на электростанции, где были вектора:
Но не все так просто как покажется в начале...
До начала проведения работ мне удалось стянуть пропуск, как это сделать я описывал в предыдущих статьях. Можно найти по хештэгу: #физический_пентест
Для копирования использовал прикольную приблуду, такую же можете купить на алике: https://aliexpress.ru/item/1005001736284786.html?spm=a2g2w.productlist.0.0.3e284aa6rKNXkq&sku_id=12000017419734109
КОМПРОМЕТАЦИЯ БЩУ
В день проведения работ в 08:00 после прохождения зоны турникета с скопированным пропуском сотрудника, я направился в здание блочного щита управления (БЩУ), где располагается компоненты критической информационной инфраструктуры (КИИ) Заказчика. Попав в помещение, представился сотрудником подрядной организации, которая осуществляет модернизацию рабочих мест. Как только я запросил оперативный персонал на смене дать доступ в помещения серверного блока, оперативный персонал попросил пояснить на каком основании посторонний человек хочет получить доступ к помещению программно-технического комплекса. Меня попросили предъявить документ подтверждающий наличие права на единоличный осмотр помещения, либо наряд-допуск на проведение работ, а также попросили связаться с куратором по договору(липовому договору конечно же) для уточнения правомерности нахождения меня на территории БЩУ без сопровождающего. У меня уже была заготовка наряда-допуска и на телефоне был убедительный голос подельника с заготовленным диалогом на случай форс-мажоров. Вообщем пронесло, первый этап завершен, моя задача была сфотографировать скомпрометированное помещение, а также внутрянку серверных шкафов, которые без проблем были открыты "дорожным набором" отмычек.
ТЕЛЕФОННЫЙ ФИШИНГ
Сценарий
Для атаки на сотрудников Заказчика с использованием мобильной связи был выбран сценарий «Звонок из службы ФСТЭК России». Атака проводилась на всех действующих руководителей подразделений, а также на системных администраторов всех узлов, от имени сотрудника ФСТЭК России, Громова Александра Юрьевича. Телефонный звонок осуществлялся с мобильного номера сотрудника Исполнителя +7 (9**) 2** 2* 9* на внутренние номера сотрудников Заказчика. Телефонный разговор длился в среднем около 5 минут.
Цель
Атака проводилась с целью: уточнить перечень сетевого оборудования, расположение объектов с АСУ, численность охраны, слепые зоны камер видео наблюдения.
Атака
Пример диалога приведён далее (Исполнитель – А, сотрудник Заказчика – Б):
А: Добрый день, меня зовут Громов Александр Юрьевич. Я сотрудник ФСТЭК России. Звоню вам, чтобы сделать сверку информации по объекту защиты.
А: <Имя и Отчество>, у меня есть несколько вопросов к вам, готовы на них сейчас ответить?
А: - Какое антивирусное программное обеспечение вы используйте?
- Сколько хостов вам необходимо перевести на Astra Linux?
Дело в том, что сейчас идёт модернизация системы защиты, в связи с этим уточните, пожалуйста, на каких операционных системах вы работаете, какой версии, чтобы нам иметь в виду, безопасна у вас среда или нет. И если у вас есть проблемы, тогда мы пошлём к вам нашего сотрудника, для того чтобы он передал полный пакет программного обеспечения для обновления и устранения уязвимостей.
Итоги
Была получена информация от некоторых сотрудников, которая являлась конфидециальной, можно считать что успех на 60%, потому что на данном этапе инженеры что-то заподозрили и начали обзванивать всех, чтобы предупредить о возможных инцидентах. Под конец я получал шаблонный диалог:
Б: Извините, но у меня нет полномочий сообщать вам такую информацию.
А: Кто может дать такую информацию?
Б: Позвоните вышестоящему руководству, больше ничем помочь не могу
РАЗБРОС USB-НАКОПИТЕЛЕЙ С МАЛВАРЕМ
В рамках данного сценария Исполнитель "заряженные" USB накопители, в случае использования которых в проверяемом сегменте сети (ОКИИ) подключение должно отобразиться в SIEM системе ИБ АСУ ТП электростанции.
Так как кто-то из бдительных сотрудников поднял тревогу, служба безопасности начала мониторить камеры, где как оказалось позже было видно, как "левый персонаж" разбрасывает флешки по всему предприятию.
Как выяснилось позже, по предприятию разослали мою фотку, чтобы рабочий персонал электростанции, в случае обнаружения сообщил сотрудникам Росгвардии мое местоположение.
Итог
Закончив свое задание я отправился к представителю Заказчика, чтобы доложить о результатах проведенной работы, но в этот момент по громкоговорителю сообщили о том, что разыскивается некий "персонаж", который совершает неправомерные действия по отношению к объекту КИИ. После краткого описания моей личности я пошел сдаваться, но на выходе меня особо спрашивать не стали кто я и что, сразу отправили в каморку ожидания. Сотрудники Росгвардии вызвали ФСБ для задержания. По итогу пришел директор предприятия и подтвердил, что проводились специальные работы, чему свидетельствовали документы в моем рюкзаке, которые в начале даже смотреть никто не стал. Вообщем ребята молодцы, но среагировали поздновато. Кейс получился с "остринкой" и зарядом адреналина.
Еще больше интересных статей в моем ТГ канале: https://t.me/pro_pentest