Innostage выплатит «белому» хакеру 100 тыс. рублей за реализацию промежуточного ИБ-события в рамках программы открытых кибериспытаний. Исследователь разослал сформированное им фишинговое сообщение сотрудникам компании, что привело к компрометации учётной записи одного из них.
Специалист описал свои действия в отчёте и загрузил на bug-bounty-платформу Standoff365. Проверка установила, что он смог завладеть записью сотрудника Innostage, но не закрепиться на корпоративной рабочей станции. Для получения приза вторая часть была обязательной, однако, компания всё равно решила наградить участника.
«Фишинг является одним из основных инструментов первого касания при атаках злоумышленников на компанию. Наш исследователь провёл тщательную подготовку. Для начала он откликнулся на вакансию, благодаря чему узнал подробности работы почтового сервера. Было составлено очень грамотное письмо. Оно содержало фишинговую ссылку, которая вела на поддельную страницу для ввода данных, — рассказал Руслан Сулейманов, директор по цифровой трансформации Innostage, — Наши действия в ходе атаки начались с реакции центра противодействия киберугрозам (SOC). Благодаря наличию сценариев и автоматизации реагирования были очень быстро идентифицированы пользователи, которые получили письмо. Далее аналитики SOC получили данные о переходах по ссылке из письма. На основе этих данных в автоматическом режиме были заблокированы учётные данные скомпрометированных пользователей, разорваны текущие сессии и проведена изоляция устройств данных пользователей, что не позволило атаке развиться дальше».
Параллельно SOC’у включилась команда аналитиков, изучившая посадочную страницу для ввода данных и малварь, которая скачивалась при обращении к ресурсу. Код малвари был проанализирован, сигнатура добавлена в систему защиты.
Завладение учётной записью с закреплением на корпоративной рабочей станции лишь одно из промежуточных испытаний на пути к «суперигре» в рамках программы открытых кибериспытаний Innostage. Финальное задание заключается в совершении транзакции со счёта компании на любой подконтрольный счёт — за это участнику полагается награда в 5 млн рублей.