Их оружие — голос. Хакеры взламывают компании с помощью звонков в IT-поддержку
NewsMakerИм не нужны вирусы — достаточно уверенного тона и хитрости.
Группировка Scattered Spider усилила атаки на корпоративные IT-среды, сосредоточив усилия на гипервизорах VMware ESXi в американских компаниях из розничной, транспортной и страховой отраслей. Эти атаки не используют традиционные уязвимости в программном обеспечении — вместо этого злоумышленники демонстрируют безупречное владение приёмами социальной инженерии , позволяющими обходить даже самые защищённые системы.
По данным Google Threat Intelligence Group, начальная фаза атаки строится на имитации сотрудника компании в разговоре с IT-службой поддержки. Злоумышленник добивается смены пароля пользователя в Active Directory и тем самым получает начальный доступ к внутренней сети. После этого начинается поиск ценной технической документации и ключевых учётных записей — прежде всего администраторов доменов и среды VMware vSphere, а также участников групп с расширенными правами.
Параллельно с этим производится сканирование на предмет наличия решений класса PAM (Privileged Access Management), способных содержать чувствительные данные и помочь при дальнейшем продвижении по инфраструктуре. Получив имена привилегированных пользователей, злоумышленники совершают повторные звонки, уже представляясь администраторами, и снова инициируют сброс пароля, но теперь для захвата привилегированного доступа.
Следующий этап — получение контроля над сервером управления виртуальной средой VMware vCenter (vCSA), который управляет всей архитектурой ESXi и виртуальными машинами на физических хостах. Получив такой уровень доступа, злоумышленники активируют SSH на ESXi-хостах, сбрасывают пароли root-пользователей и переходят к проведению так называемой атаки с подменой виртуального диска.
Эта техника заключается в отключении контроллера домена, отсоединении его виртуального диска и подключении его к другой, подконтрольной виртуальной машине. Там хакеры копируют файл NTDS.dit — базу данных Active Directory с хешами паролей — после чего возвращают диск обратно и включают исходную машину. Такой подход позволяет извлечь критически важные данные, не вызывая подозрений на уровне событий ОС.
Имея полный контроль над виртуализацией, злоумышленники также получают доступ к системам резервного копирования. Они очищают расписания, удаляют снимки и уничтожают сами хранилища резервных копий. Финальная стадия атаки — развёртывание шифровальщиков через SSH-подключения на всех обнаруженных в хранилищах виртуальных машинах. Результатом становится массовое шифрование данных и полная потеря управления со стороны организации.
Google описывает архитектуру атаки в пять фаз: от социальной инженерии до захвата всей инфраструктуры ESXi. На практике вся цепочка от первого звонка в поддержку до развёртывания шифровальщика может занять всего несколько часов. Примечательно, что в этих атаках не используются эксплойты уязвимостей, но их эффективность столь высока, что хакеры обходят большинство встроенных средств защиты.
Подобный подход уже применялся Scattered Spider во время громкого инцидента с MGM Resorts в 2023 году. Сегодня всё больше группировок перенимают такую тактику. Одной из причин является слабое понимание VMware-инфраструктур многими организациями и, как следствие, недостаточный уровень их защиты.
Чтобы снизить риск, Google опубликовала технические рекомендации, сводящиеся к трём основным направлениям:
Группировка Scattered Spider усилила атаки на корпоративные IT-среды, сосредоточив усилия на гипервизорах VMware ESXi в американских компаниях из розничной, транспортной и страховой отраслей. Эти атаки не используют традиционные уязвимости в программном обеспечении — вместо этого злоумышленники демонстрируют безупречное владение приёмами социальной инженерии , позволяющими обходить даже самые защищённые системы.
По данным Google Threat Intelligence Group, начальная фаза атаки строится на имитации сотрудника компании в разговоре с IT-службой поддержки. Злоумышленник добивается смены пароля пользователя в Active Directory и тем самым получает начальный доступ к внутренней сети. После этого начинается поиск ценной технической документации и ключевых учётных записей — прежде всего администраторов доменов и среды VMware vSphere, а также участников групп с расширенными правами.
Параллельно с этим производится сканирование на предмет наличия решений класса PAM (Privileged Access Management), способных содержать чувствительные данные и помочь при дальнейшем продвижении по инфраструктуре. Получив имена привилегированных пользователей, злоумышленники совершают повторные звонки, уже представляясь администраторами, и снова инициируют сброс пароля, но теперь для захвата привилегированного доступа.
Следующий этап — получение контроля над сервером управления виртуальной средой VMware vCenter (vCSA), который управляет всей архитектурой ESXi и виртуальными машинами на физических хостах. Получив такой уровень доступа, злоумышленники активируют SSH на ESXi-хостах, сбрасывают пароли root-пользователей и переходят к проведению так называемой атаки с подменой виртуального диска.
Эта техника заключается в отключении контроллера домена, отсоединении его виртуального диска и подключении его к другой, подконтрольной виртуальной машине. Там хакеры копируют файл NTDS.dit — базу данных Active Directory с хешами паролей — после чего возвращают диск обратно и включают исходную машину. Такой подход позволяет извлечь критически важные данные, не вызывая подозрений на уровне событий ОС.
Имея полный контроль над виртуализацией, злоумышленники также получают доступ к системам резервного копирования. Они очищают расписания, удаляют снимки и уничтожают сами хранилища резервных копий. Финальная стадия атаки — развёртывание шифровальщиков через SSH-подключения на всех обнаруженных в хранилищах виртуальных машинах. Результатом становится массовое шифрование данных и полная потеря управления со стороны организации.
Google описывает архитектуру атаки в пять фаз: от социальной инженерии до захвата всей инфраструктуры ESXi. На практике вся цепочка от первого звонка в поддержку до развёртывания шифровальщика может занять всего несколько часов. Примечательно, что в этих атаках не используются эксплойты уязвимостей, но их эффективность столь высока, что хакеры обходят большинство встроенных средств защиты.
Подобный подход уже применялся Scattered Spider во время громкого инцидента с MGM Resorts в 2023 году. Сегодня всё больше группировок перенимают такую тактику. Одной из причин является слабое понимание VMware-инфраструктур многими организациями и, как следствие, недостаточный уровень их защиты.
Чтобы снизить риск, Google опубликовала технические рекомендации, сводящиеся к трём основным направлениям:
- Первое — усиление защиты vSphere: включение опции execInstalledOnly, шифрование виртуальных машин, отключение SSH, удаление «осиротевших» VM и жёсткое применение многофакторной аутентификации.
- Второе — изоляция критически важных активов: контроллеров домена, PAM-систем и резервных хранилищ. Они не должны размещаться на тех же узлах, что и инфраструктура, которую они защищают.
- Третье — мониторинг: организация централизованного логирования, настройка оповещений на подозрительные действия (например, включение SSH, вход в vCenter, изменение групп администраторов), а также использование неизменяемых бэкапов с воздушным зазором и регулярное тестирование восстановления после атак на систему виртуализации.