Современный ландшафт киберугроз постоянно усложняется, и одной из самых опасных группировок на сегодняшний день считается Scattered Spider. Эта группа прославилась своей уникальной методикой атак, нацеленных на виртуализованные среды, особенно широко используемые в критической инфраструктуре США. Основная мишень злоумышленников — VMware ESXi гипервизоры, которые обеспечивают работу многих серверов и виртуальных машин в таких отраслях, как розничная торговля, авиаперевозки и транспорт. Особенность работы этой киберпреступной группы состоит в том, что они не полагаются на программные уязвимости, а делают ставку на социальную инженерию, что делает их атаки не только эффективными, но и чрезвычайно сложно обнаруживаемыми. Scattered Spider применяет выверенный и хорошо отработанный сценарий, основанный на звонках в IT-поддержку компании.
Такие звонки представляют собой умело организованные попытки обмануть работников службы помощи посредством имитации личности высокопоставленных администраторов. При этом злоумышленники добиваются сброса паролей и получения прав доступа к корпоративной инфраструктуре. Именно социальная инженерия является ключом к проникновению в сеть организации и обеспечивает обход многих современных систем безопасности. Благодаря этому подходу Scattered Spider успешно проникает даже в тщательно защищённые среды с продвинутыми программами защиты. После получения начальственного доступа группа активно использует техники «living-off-the-land», что означает эксплуатацию собственных легитимных администраторских инструментов организации для перемещения и эскалации привилегий.
Значительную роль играет управление Active Directory — центральным элементом инфраструктуры, который связывает учетные записи пользователей, группы и правила доступа. Контроль над Active Directory позволяет хакерам получить доступ к VMware vSphere и связанной с ним VMware vCenter Server Appliance (vCSA), что даёт им возможность полностью подчинить виртуальную среду. Для поддержания доступа и скрытного управления внедряется зашифрованный обратный шелл под названием teleport, который может обходить правила файрволов. Дальнейшие действия включают разблокировку SSH на ESXi-хостах, сброс root-паролей и проведение так называемой атаки «замена дисков». В этом процессе злоумышленники останавливают виртуальную машину контроллера домена, отключают её виртуальный диск и подключают его к другой виртуальной машине под своим контролем.
Это позволяет скопировать базу данных Active Directory (NTDS.dit) без обнаружения, после чего диск возвращается на место и виртуальная машина включается. Использование таких приемов, как уничтожение резервных копий, снимков системы и репозиториев, значительно усложняет восстановление после атаки. Злоумышленники также распространяют специализированный вредоносный софт — кастомный бинарный файл программного обеспечения-вымогателя через защищённые протоколы SCP и SFTP. В результате виртуальная инфраструктура подвергается параличу, что вызывает масштабные сбои в работе организаций, отвечающих за функционирование критически важных систем.
Одним из наиболее тревожных аспектов атак Scattered Spider является их скорость и скрытность. Согласно отчетам Google и Palo Alto Networks, вся цепочка от первоначального взлома до успешного развертывания ransomware происходит за считанные часы. Такая «экстремальная скорость» делает традиционные методы обнаружения и реагирования недостаточными, требует новых подходов к защите, которые ориентированы не на конечные устройства пользователя, а именно на ключевые инфраструктурные компоненты. Google настаивает на смене парадигмы киберзащиты, рекомендуя переход от методов, фокусирующихся на обнаружении конечных угроз с помощью EDR, к проактивным инфраструктурно-ориентированным стратегиям. В первую очередь необходимо включить режим блокировки vSphere, активировать execInstalledOnly для ограничения запуска неподписанных бинарных файлов, использовать шифрование виртуальных машин и проводится своевременный вывод из эксплуатации устаревших объектов.
Ключевым аспектом также считается усиление безопасности IT-поддержки, чтобы противодействовать социальной инженерии. Реализация многофакторной аутентификации с устойчивостью к фишинговым атакам должна стать обязательным стандартом, а инфраструктура управления идентификацией и доступом — изолирована от основной сети. Регулярный мониторинг и агрегация критичных журналов событий помогают выявлять аномалии на ранних этапах атаки. Развертывание и хранение резервных копий должно быть гарантированно вне доступа скомпрометированных администраторов и связанных с Active Directory систем. Еще одним важным моментом выступает адаптация инфраструктуры при переходе на новые версии VMware vSphere, учитывая, что версия 7 подходит к окончанию срока поддержки.
