Тим часом сайт, точнiше заглушка, запрацював
Масштабна аварія в мережах "Київстар" — 12 грудня 2023 р.
- Статус
А, ну тогда все понятно со службой безопасности кс. Я когда работал в банке на три буквы, то у нас ремоут десктопы в большинстве случаев были под строгим запретом и наблюдением. Там где было разрешено - только с определенных IP из внутренней сети, которые сзі регулярно проверял на соответствие через AD.
Себастьян Перейро
торговець чорним деревом
Та ьаи і бнз аербування черга за рузьким миром
Себастьян Перейро
торговець чорним деревом
️СБУ допомагає «Київстару» відновити роботу мережіКіберфахівці Служби безпеки України та спеціалісти «Київстару» у взаємодії з іншими державними органами продовжують роботи з відновлення мережі після вчорашньої хакерської атаки.
За попередніми розрахунками, 13 грудня планується відновити фіксований інтернет для домогосподарств, а також розпочати запуск мобільного зв’язку та інтернету.
Цифровій інфраструктурі «Київстару» було завдано критичних уражень, тому відновлення всіх послуг із дотриманням необхідних протоколів безпеки вимагає часу.
Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Воно є хакерським підрозділом головного управління генштабу збройних сил рф (більш відомого як гру), яке таким чином публічно легалізує результати своєї злочинної діяльності.
СБУ продовжує документувати кібератаку рф по цивільній інфраструктурі України як черговий воєнний злочин рашистів.
Останнє редагування:
Абсолютно впевнений, що в них теж так і ніякий RDP не працює в принципі, тільки в виняткових випадках і тільки всередині мережі. Але це міг бути інсайдер - раз, два - щось таки дуже серйозне зламали, тобто мали доступ всюди куди треба. Масштаб дуже великий, почувалися у внутрішній мережі КС, як вдома
Це називається Disaster Recovery, такі процедури теж точно є. Із мого досвіду, нормально то протестувати все вкупі неможливо - треба так зламати, як зараз зламали.
Мои данные из КС попали в сеть лет восемь назад. Был момент, данные были вообще в открытом доступе (откуда я и узнал), типа, в ознакомительных целях. Ессно, это были не только мои данные, а вообще вся база КС контракт. Потом можно было за денежку доступ купить. Данные - прям вот иди и оформляй кредит, фото паспорта заполненные страницы, код.
Так что могут фрагмент той базы показать, и сказать, что вот, видите, сломали.
Останнє редагування:
Як мінімум, промовчати, або сказати, що йде перевірка. Інформація усе одно потрапить до ЗМІ.
Зараз це виглядяє не дуже доречно, кажучи.
и что делать в такой ситуации?
менять паспорт?
logist_eg
Заблокирован
- Реєстрація
- 22.11.22
- Місто
- Західна Україна
1)
Ну по-перше публічно і загально не буде правдивої версії , тобто правду ми не дізнаємось ніколи , нам дадуть 3-5 різних версій , серед яких справжньої версії не буде і кожен може вірити в те що хоче . В тому числі по тій же причині по який нам всім не говорять куди саме москалі влучили своїми шахедами цієї ночі і де і які розміщені ППО.
Мене більше цікавить Чи будуть зроблені висновки і чи будуть зроблені дії щоб Щоб це не повторилося і було би дуже непогано поділитися цими висновками все-таки з колегами точніше з конкурентами з тими ж Vodafon-ами і Life-ами.
Я вважаю що Київстар був атакований все-таки але не через те що він якийсь особливий в плані захисту в них щось коряво якось погано працюють процедури захисту але ще тому що це реально на сьогодні найбільший оператор і це єдине пояснення Чому саме атака була на Київстар скажімо так я впевнений що якби така атака проводилася на той же Vodafone чи Life селаа результат був би такий самий так що тут дуже важливо взаємодія між цими конкурентами хоча-би для розуміння звідки яким чином була проведена а так звісно це моя думка оскільки дійсно наступними будуть так само Life Vodafone і так далі
1) У нас правова держава чим ми і відрізняємося від Московії у нас тортурами не мають вибивати визнання вини, бо як відомо під тортурами можна визнати будь що, просто залежить від ефективності цих тортур, А ще є така штука як Презумпція невинності , от якби ви були тим працівником Київстара якого вже підозрюють , а потім на прес хату я би послухав тоді ваш варіантВсех потенциальных крыс на полиграф и потом в пресс-хату!
Ну по-перше публічно і загально не буде правдивої версії , тобто правду ми не дізнаємось ніколи , нам дадуть 3-5 різних версій , серед яких справжньої версії не буде і кожен може вірити в те що хоче . В тому числі по тій же причині по який нам всім не говорять куди саме москалі влучили своїми шахедами цієї ночі і де і які розміщені ППО.
Мене більше цікавить Чи будуть зроблені висновки і чи будуть зроблені дії щоб Щоб це не повторилося і було би дуже непогано поділитися цими висновками все-таки з колегами точніше з конкурентами з тими ж Vodafon-ами і Life-ами.
Я вважаю що Київстар був атакований все-таки але не через те що він якийсь особливий в плані захисту в них щось коряво якось погано працюють процедури захисту але ще тому що це реально на сьогодні найбільший оператор і це єдине пояснення Чому саме атака була на Київстар скажімо так я впевнений що якби така атака проводилася на той же Vodafone чи Life селаа результат був би такий самий так що тут дуже важливо взаємодія між цими конкурентами хоча-би для розуміння звідки яким чином була проведена а так звісно це моя думка оскільки дійсно наступними будуть так само Life Vodafone і так далі
Хм, на скрінах з новин про злам видно ActiveDirectory, а у вчорашній статті маємо таку цитату
Також були чутки про затертий HLR, затерті мережеві конфігурації на маршрутизаторах, але це поки ніяк не підтверджується, але і не спростовується. Чекаємо наступних подробиць..
Отже як мінімум можна вважати що знищено ліси AD, через що стає неможливим залогінитись будь кому в компанії.
Також були чутки про затертий HLR, затерті мережеві конфігурації на маршрутизаторах, але це поки ніяк не підтверджується, але і не спростовується. Чекаємо наступних подробиць..
Друзья простите если дубль (27 страниц тема), но если не дубль – может быть интересно
История из 2018 года: https://habr.com/post/418591/
Грубый пересказ: тип общался с ними по несвязанному вопросу, и случайно получил в ответ ссылку на публичный (!) гугл докс (!), где лежали пароли и доступы почти ко всей Киевстаровской инфраструктуре.
Возможно, подход не поменялся и сейчас проблема тоже в нём была
А вечером я обнаружил у себя в папке «Спам» письмо с домена Киевстар с HTML-вложением.
И вот тут начинается самое интересное.
Несмотря на то, что имя отправителя совпадало с именем сотрудницы, которая отвечала на мой предыдущий запрос на платформе Bugcrowd, e-mail пришёл не на тот ящик, который использовался для регистрации.
Проверив вложение на вирусы, открыв его блокнотом и погуглив отправителя, я всё ещё не мог поверить в такое совпадение: это были закладки из браузера рабочего компьютера сотрудника Киевстар.
Крупнейшему мобильному оператору Украины повезло, что письмо с вложением вида «Bookmarks_July.2018.html» попало не куда-попало (извините за тавтологию), а тому, кто понимает ценность таких данных и последствия их утраты.
Всего в файле было 113 закладок. И среди разнообразных ссылок, как по работе (которые не открывались из внешней сети), так и не очень, затесалась одна, открыв которую мои глаза стали по пять копеек.
Ссылка вела на незащищённый файл, в котором, среди прочего, были следующие колонки: «URL of the service», «Login» и «Password»:
(для увеличения изображения откройте его в новой вкладке)
Ещё раз подумав, а не фейк ли это, не honeypot ли, я попробовал войти в несколько из сервисов, ожидая преграду в виде двухфакторной аутентификации. Но её не было, и я вошёл. Вошёл как админ:
И вот тут начинается самое интересное.
Несмотря на то, что имя отправителя совпадало с именем сотрудницы, которая отвечала на мой предыдущий запрос на платформе Bugcrowd, e-mail пришёл не на тот ящик, который использовался для регистрации.
Проверив вложение на вирусы, открыв его блокнотом и погуглив отправителя, я всё ещё не мог поверить в такое совпадение: это были закладки из браузера рабочего компьютера сотрудника Киевстар.
Крупнейшему мобильному оператору Украины повезло, что письмо с вложением вида «Bookmarks_July.2018.html» попало не куда-попало (извините за тавтологию), а тому, кто понимает ценность таких данных и последствия их утраты.
Всего в файле было 113 закладок. И среди разнообразных ссылок, как по работе (которые не открывались из внешней сети), так и не очень, затесалась одна, открыв которую мои глаза стали по пять копеек.
Ссылка вела на незащищённый файл, в котором, среди прочего, были следующие колонки: «URL of the service», «Login» и «Password»:
(для увеличения изображения откройте его в новой вкладке)
Ещё раз подумав, а не фейк ли это, не honeypot ли, я попробовал войти в несколько из сервисов, ожидая преграду в виде двухфакторной аутентификации. Но её не было, и я вошёл. Вошёл как админ:
Останнє редагування:
bossy, каждый раз, как где-то оставляешь данные паспорта, то надо сразу идти и менять . Потому что где-то кто-то обязательно облажается, и данные в сеть утекут.
Ах, да, многие требуют при изменении паспортных данных сразу приходить и обновлять. Oh, shit...
Ах, да, многие требуют при изменении паспортных данных сразу приходить и обновлять. Oh, shit...
Ага, да-да, конечно
Вже ж писав. Київстар ТБ пов`язане з плюсами, то ж інфраструктра (можливо лиш частина Київстарівської там) їхня.
Радіо це вже проєкт Київстар і там повністью їхня інфраструктура, яка повністю завязана на них.
У нас в контакт-центрі я робив так: VPN для входу в внутрішню мережу, після чого RDP на свою фізичну машину в офісі яка підключена до фізичної мережі з потрібним ІР, а звідти вже RDP на необхідний сервер в середині мережі який не допускав прямого RDP з умовно зовнішнього світу. Чи прокатить так в КС - хз, але маю підозри що щось схоже на таке могли зробити
Сотні інсайдерів щось знають, сотні людей прямо зараз щось піднімають і обговорюють що сталося. Всі деталі ні, але картина буде +- зрозуміла скоро, думаю.
Не впевнений. Інакше - зараз би так само сиділи без лайфа і водафона. Атака була складна, професійна, скоріш за все - з використанням інсайдера.
Це все так, але факт що то сталося, і, головне, масштаб і рівень доступ кажуть нам, що слово "проїбали" дуже доречне в даному випадку.
Так не можна. Всіх ламають і будуть ламати, але не так. Коли попадають ракетою в будинок в Києві - це сумно, але умовно неминуче. Коли ворог прокрався в Київ два місяці тому, намалював мапу, отримав карту Киянина і спокійно розклав вибухівку під половину міської інфраструктури - це пройоб спецслужб.
А вот признайтесь честно, ведь желали КСу примерно такую ситуацию? Чтоб кааак вернулось все бумерангом за все его козни, да чтоб мало не показалось? За наглые закрытия архивных тарифов и насильного перевода на "улучшенные" тарифы? Или после закрытия свинокоина? Вот и сбылось
До речі з вчорашнього дня на сайті lifecell бачу іноді "перевірку на робота", де треба галочку поставити.
Цікаво, співпало так, що в мого провайдера "кривий сірий IP", чи це вже захист ввели вони від ддосу ...
За економію на внутрішній інфраструктурі і її безпеці тільки такий бумеранг має бути. Інакше не доходить.
Post automatically merged:
Ну уявіть який трафік попер, пробують відсіяти різних ботів хоча би.
- Статус