Тринадцать следов в логах orion
Ночная атака 15 июля 2025 года смотрелась хорошо спланированной. Логи компании «Orion DataForge» отразили тринадцать последовательных попыток входа в ядро корпоративной сети. Источник — IP-адрес 93.95.97.28, закреплённый за провайдером в Эр-Рияде.
Суммарная длительность инцидента составила восемнадцать минут. Первая сессия стартовала в 02:14:09, финальная завершилась в 02:32:47. Каждая из тринадцати итераций разделялись паузой близ двух минут, что свидетельствует о частично автоматизированном сценарии с ручной корректировкой.
Ход атаки
Прямой TCP-флуд отсутствовал. Злоумышленник применил комбинацию HTTP-запросов с подменой заголовков, подбрасывая session cookie, добытый ранее через сторонний фишинговый сервис. Полученный токен открывал доступ к панели администратора уровня L2. После проверки учётных данных механизм MFA остановил вторжение, потому что токен Session-id разошёлся с актуальным в Redis-хранилище.
Использованные уязвимости
Исходный анализ кода выявил баг CVE-2025-14751 в модуле авторизации. Компонент уничтожал старый токен лишь при успешной самостоятельной аутентификации. При сбое тайм-аут оставлял окно длиной шестьдесят секунд, приемлемое для повторного подбора подписи. Злоумышленник использовал указанный зазор. На четвёртом, седьмом и девятом цикле сервер принял запрос, однако процедура поднятия привилегий рухнула при обращении к базе GraphQL, обрамлённой WAF-фильтром ModSecurity.
Реакция команды
Дежурный инженер зафиксировал всплеск среднеквадратичного отклонения задержек на втором рубеже прокси. Автоматический софт Sleuth Sentinel сгенерировал тикет SEV-1 через семь секунд после первой аномалии. Команда включила лимит на соединения, отсекла подсеть /24 93.95.97.0 и перенаправила сомнительные запросы в изолированную песочницу. После закрытия бреши модуль CSIRT сформировал отчёт и отправил артефакты в лабораторию цифровых доказательств.
Дальнейший разбор tシャ-дампов показал использование инструмента Hydra v10.6 с кастомным плагином JWE-Forge. Правоохранительные органы запросили данные у провайдера, расследование открыто в рамках статьи 273 УК РФ.
Во избежание повторения инцидента инженеры сократили TTL сессионных токенов до десяти секунд, ввели разделение секретов для разных зон ответственности и обновили библиотеку NetAuth до версии 5.4.1, ликвидирующей CVE-2025-14751. Параллельно проведён аудит IAM-ролевой модели, установлены аппаратные ключи YubiKey Bio для верхнего эшелона доступа.
Случай подчеркнул полезность многоуровневого мониторинга, быстрой изоляции узлов и регулярного пересмотра уязвимостей в сторонних библиотеках. Компании рекомендованы периодические purple-team учения и активный обмен индикаторами компрометации с отраслевыми центрами.
15 июля 2025 г. в 13:00 система мониторинга ООО «Флекснет» зафиксировала резкий всплеск исходящего трафика с сервера отдела разработки. Анализ netflow показал адрес назначения 93.95.97.28, ранее не встречавшийся в производственном сегменте. Первичная корреляция событий включила правило «Outbound Anomaly» и присвоила приоритет P2.
Хронология событий
12:58 – IDS на границе зафиксировал tcp-синхронизацию по порту 22.
12:59 – поступило двадцать шесть последовательных попыток SSH-авторизации с нестандартными логинами.
13:00 – после успешного входа нарушитель выгрузил скрипт маскировки процесса, создал сокет-слушатель на 443/tcp и установил обратный туннель во внешнюю сеть.
Технический анализ
Пакетный дамп показал сигнатуру инструмента GoTo Shell v2.3: чередование keep-alive пакетов по протоколу HTTP/2 и скрытая передача команд в поле cookie. Внутри канала обнаружен вызов API cloud-хранилища для выгрузки архива `build_env.zip` объёмом 128 МБ. Сравнение ошибок протокола указывает на использование прокси-сети MULL-582. Сам IP 93.95.97.28 относится к подсети AS 49505, зарегистрированной в нидерландском дата-центре RotterdamNet.
За три месяца до инцидента тот же адрес фигурировал в базе Shadowserver как участник ботнета YamaWard. Локальные логи подтверждают разведывательный скан 20 мая, игнорированный из-за низкого веса события. Файл authorized_keys хранит публичный ключ `ssh-rsa AAAAB3Nza...`, совпадающий с ключом, опубликованным на Pastebin 06.06.2025.
Меры реагирования
Команда реагирования разорвала соединение через pfctl, пометила хэш скрипта в YARA-правила SIG_DEV_4457 и инициировала форензик дамп RAM. Хост изолирован сегментацией Layer-2, ключи аутентификации пользователей сброшены, пароли с перцем Bcrypt 14 сгенерированы заново. SOC отправил IODEF-отчёт в Insert и CERT-NL.
Для снижения риска повторного доступа добавлено правило входного фильтра AS-path, обновлена версия OpenSSH до 10.4p1, расширен список индикаторов Komand-SOAR. Комитет по безопасности утвердил еженедельный аудит ключей, гайдинг по жёстким cgroup-лимитам и тренинг для разработчиков по hygiene исходного кода.