✈️ Апдейт про взлом «Аэрофлота»
Сразу по следам позавчерашнего сбоя у нацпера я выпустил пост, в котором подверг сомнениям заявления хакерской группировки, взявшей на себя ответственность за взлом. С учётом накопившихся свидетельств, пора сделать апдейт и отделить домыслы от фактов.
✅Для начала перечислим факты (F):
- F1. Операционная деятельность Аэрофлота практически встала на 1 день
- F2. Спустя 2 дня деятельность авиакомпании полностью восстановлена
- F3. Ни одного малейшего фрагмента украденных данных так и не опубликовано
- F4. Показаны какие-то отдельные скриншоты из внутренних систем
- F5. Причиной сбоя практически все говорящие головы назвали хакерскую атаку
📣Теперь посмотрим на заявления (S) «хакеров»:
- S1. Сбой был рукотворным
- S2. В результате атаки хакеры были во внутреннней сети почти год
- S3. Многие сотрудники и даже начальники хранили свои пароли плейнтекстом прямо на рабочем столе и не меняли их
- S4. Именно S3 и позволило нанести такой ущерб
- S5. Слиты все-все-все данные на много-много терабайт
- S6. Все-все базы данных были удалены, включая бэкапы.
- S7. IT-инфраструктура полностью разрушена.
Теперь опоставляем факты и заявления. Сгруппируем заявления по уровню достоверности с опорой на известные факты:
❌Однозначно недостоверные — S6, S7 (📝 F2)
🤷♂️Вероятно недостоверные — S4, S5 (📝 F3, F4)
🤷Вероятно достоверные — S1, S2, S3 (📝 F4, F5)
✅Однозначное достоверные — 📝
Таким образом, существуют заведомо недостоверные факты, а большинство — в серой зоне. Распределение заявлений по группам потянуло бы на отдельный пост, но мы можем обсудить это в комментариях 🙂
🙈Но отдельно отмечу самый распространяемый факт — про пароли. С ним есть две проблемы:
➖Первая: почему-то никто не задаётся причинно-следственными связями. Окей, хакеры увидели файлики с паролями на рабочем столе. Но ведь туда уже надо попасть, чтобы его выянснить. Это, в принципе, возможно, но тогда этот самый пароль и не понадобится, это несущественный технический факт. Да и кто раскрывает вектор атаки в 0day, прямо во время закрытия бреши?
➖Вторая: пароли от учётных записей менеджеров едва ли помогают получению технических паролей. Гендиректор — это не девопс. С его компьютера можно получить бизнес-критичную, но не техническую информацию. Максимум, можно было использовать этот пароль для хитрой социальной инженерии, но это очень рисковано. Короче, звучит грозно, но технический выхлоп от этого нулевой.
Не поймите меня неправильно, я ни в коем случае не обеляю Аэрофлот. Госкорпорации массивные, неповоротливые и неэффективные. Но мне режет глаза крайне нетипичная коммуникация хакерской группы. От неё веет желтухой и преувеличениями, даже если какие-то заслуги реально были. Может, так торгуются за выкуп несуществующих «похищенных» данных?..
И вот вопрос. Хоть кто-то из давших новость о полном уничтожении IT-инфраструктуры и сливе всех данных уже её опроверг?
Сразу по следам позавчерашнего сбоя у нацпера я выпустил пост, в котором подверг сомнениям заявления хакерской группировки, взявшей на себя ответственность за взлом. С учётом накопившихся свидетельств, пора сделать апдейт и отделить домыслы от фактов.
✅Для начала перечислим факты (F):
- F1. Операционная деятельность Аэрофлота практически встала на 1 день
- F2. Спустя 2 дня деятельность авиакомпании полностью восстановлена
- F3. Ни одного малейшего фрагмента украденных данных так и не опубликовано
- F4. Показаны какие-то отдельные скриншоты из внутренних систем
- F5. Причиной сбоя практически все говорящие головы назвали хакерскую атаку
📣Теперь посмотрим на заявления (S) «хакеров»:
- S1. Сбой был рукотворным
- S2. В результате атаки хакеры были во внутреннней сети почти год
- S3. Многие сотрудники и даже начальники хранили свои пароли плейнтекстом прямо на рабочем столе и не меняли их
- S4. Именно S3 и позволило нанести такой ущерб
- S5. Слиты все-все-все данные на много-много терабайт
- S6. Все-все базы данных были удалены, включая бэкапы.
- S7. IT-инфраструктура полностью разрушена.
Теперь опоставляем факты и заявления. Сгруппируем заявления по уровню достоверности с опорой на известные факты:
❌Однозначно недостоверные — S6, S7 (📝 F2)
🤷♂️Вероятно недостоверные — S4, S5 (📝 F3, F4)
🤷Вероятно достоверные — S1, S2, S3 (📝 F4, F5)
✅Однозначное достоверные — 📝
Таким образом, существуют заведомо недостоверные факты, а большинство — в серой зоне. Распределение заявлений по группам потянуло бы на отдельный пост, но мы можем обсудить это в комментариях 🙂
🙈Но отдельно отмечу самый распространяемый факт — про пароли. С ним есть две проблемы:
➖Первая: почему-то никто не задаётся причинно-следственными связями. Окей, хакеры увидели файлики с паролями на рабочем столе. Но ведь туда уже надо попасть, чтобы его выянснить. Это, в принципе, возможно, но тогда этот самый пароль и не понадобится, это несущественный технический факт. Да и кто раскрывает вектор атаки в 0day, прямо во время закрытия бреши?
➖Вторая: пароли от учётных записей менеджеров едва ли помогают получению технических паролей. Гендиректор — это не девопс. С его компьютера можно получить бизнес-критичную, но не техническую информацию. Максимум, можно было использовать этот пароль для хитрой социальной инженерии, но это очень рисковано. Короче, звучит грозно, но технический выхлоп от этого нулевой.
Не поймите меня неправильно, я ни в коем случае не обеляю Аэрофлот. Госкорпорации массивные, неповоротливые и неэффективные. Но мне режет глаза крайне нетипичная коммуникация хакерской группы. От неё веет желтухой и преувеличениями, даже если какие-то заслуги реально были. Может, так торгуются за выкуп несуществующих «похищенных» данных?..
И вот вопрос. Хоть кто-то из давших новость о полном уничтожении IT-инфраструктуры и сливе всех данных уже её опроверг?
👍 29❤ 27👀 7😁 3👎 1
3.8K (1.8%)