18.08.2021 16:15
denis-19 26 6300 Источник


По информации «РБК», ФСБ возбудила уголовное дело о попытке взлома сетевым инженером структуры «Ростеха». Бывший сотрудник техподдержки интернет-провайдера «Макснет Системы» (бренд Maxnet) Никита Демидов подозревается во взломе компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Сетевой специалист рассказал «РБК», что он не занимался взломом, а наоборот пытался пресечь атаку извне на ресурсы клиентов, проверяя их роутеры на наличие уязвимостей.

Демидов предложил своему руководителю сканировать оборудование связи в сетях клиентов, чтобы предупредить о том, что там нужно сменить штатные настройки и пароли, а также обновить прошивки сетевого оборудования.

Инженер некоторое время сканировал все сети клиентов с помощью бесплатной утилиты Router Scan. Среди сканируемых адресов оказался IP-адрес ОНПП «Технология», на котором находился электронный почтовый ящик предприятия. Именно в этот момент его деятельность зафиксировала Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Система была подключена к сети связи «Технологии», так как это предприятие является оборонным и его информационные системы являются объектами критической информационной инфраструктуры, атака на которые по части 1 статьи 274.1 УК РФ (создание, распространение или использование программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России) предусматривает лишения свободы на срок от двух до пяти лет со штрафом в размере до 1 млн руб.

Через несколько дней после проведения этапа сканирования к Демидову пришли с обыском сотрудники ФСБ и изъяли личный компьютер. Позже против него было возбуждено уголовное дело.

Адвокат Демидова отправил запрос администрации «Технологии» и попытался выяснить, нанес ли этот взлом ущерб предприятию. Ему был дан отрицательный ответ. Так же защите непонятна суть обвинения, так как почтовый сервер электронной почты «по определению не является критической инфраструктурой, поскольку влияние его выхода на деятельность предприятия минимально».

Эксперт «РБК» пояснил, что действия Демидова можно считать пентестом, но при условии, если бы клиенты провайдера согласились перед этим на сканирование своего сетевого оборудования. По факту этого провайдер и инженер официально не сделали перед началом сканирования систем клиентов. Проблема еще в том, что Демидов проводил сканирование сетей клиентов из дома с домашнего компьютера. Он работал удаленно, его вычислили по домашнему IP-адресу. В итоге ФСБ все обвинения предъявила ему как физлицу, а не как представителю компании.

В настоящее время идет следствие по этому делу, специалисты обвинения проводят дополнительную экспертизу изъятого у Демидова компьютера.

Комментарии (26)


  1. ky0
    18.08.2021 16:18
    #23384294
    +8

    Вот так, запустишь nmap из дома - а через год (примерно столько прошло между сканированием и возбуждением) какой-нибудь желающий повышения ибэшник проснётся, покурит логи, и всё заверте...


    1. deadMamonth
      18.08.2021 21:18
      #23385468

      А при чем тут год, понятно что стереотипы про не очень умных фсбшниковх, дырявые сети гос контор и прочие радости, но судя по статье там буквально пара дней прошло.


      1. ky0
        18.08.2021 22:21
        #23385620
        +1

        Я ориентировался вот на этот материал - всё-таки к хабровским "редакторам" доверия значитально меньше :) Там написано - середина 2020.


    1. drygdryg
      18.08.2021 21:18
      #23385470
      +2

      Nmap (без скриптов) — это не Router Scan: программа не подбирает пароли, не эксплуатирует уязвимости, в отличие от Router Scan, а только сканирует устройства и пытается собрать информацию о них на основе публичных данных (например, определить операционную систему на основе отпечатка TCP/IP).


      1. x86corez
        19.08.2021 23:00
        #23390670

        Помнится, есть такой хештег #KilledByNmap, которым помечают всякие весёлые и не очень случаи, произошедшие по вине этой программы кого-то, кто использовал эту программу. Видимо теперь нужно вводить #KilledByRouterScan :)


      1. dartraiden
        19.08.2021 23:31
        #23390772

        Тем не менее, в договоре с провайдером иногда можно встретить запрет сканирования портов чужих машин. Потому что часто это прелюдия к атаке.


  1. Sensimilla
    18.08.2021 16:36
    #23384388
    +3

    шикарно... сколько тысяч домашних компов с установленными троянами, работы просто невпроворот


  1. gohrytt
    18.08.2021 16:40
    #23384398
    -3

    Ах, у ели, ах, у ёлки, ах у ели злые волки в погонах.


  1. EnterSandman
    18.08.2021 16:55
    #23384442
    +5

    Занимательно.

    -Узнаем адрес какого-нибудь сервера ростеха.

    -Приходим в кафе, где вам нахамили

    -Сканируем через их вайфай порты сервера

    -Геморрой сам найдет обидчика.

    Озлобленные все стали какие-то


    1. drygdryg
      18.08.2021 21:32
      #23385506
      +1

      Чтобы таких инцидентов не было, в России с 2014 года действует закон, который обязует владельцев свободных/публичных сетей Wi-Fi аутентифицировать всех пользователей этих сетей через номера мобильных телефонов (то есть идентифицировать их).

      https://lawnotes.ru/pravitelstvo/postanovlenie-pravitelstva-rf-ot-31.07.2014-n-758


  1. pvsur
    18.08.2021 17:21
    #23384592
    +5

    Хуже безинициативного идиота только идиот инициативный…

    С какого х… ра лезть в чужие сети чтобы «проверяя их роутеры на наличие уязвимостей.»…
    Сиди себе на жопе ровно, оказывай услуги связи. Считай клиентские сети недоверенными и защищай от них свою инфраструктуру. Проблемы взлома клиента — проблемы клиента.
    Нашел себе головняк на ровном месте.


    1. maledog
      18.08.2021 18:07
      #23384826
      +5

      А потом твою подсеть целиком включат в черный список из-за массовой рассылки спама или попыток DDoS, когда клиенстские роутеры присодинятся к какому-нибудь mirai и придется постараться, чтобы из этого списка выбраться. Результат получится почти тот же самый, если этот ботнет направят на kremlin.ru.

      Что криминального в сканировании портов? На данном адресе было написано что он принадлежит секретному предприятию?


      1. pvsur
        18.08.2021 18:27
        #23384900
        -3

        Ну давайте тогда шариться по квартирам соседей, заглядывать в окна, указывать на незадернутые шторы, и капающие краны а то вдруг екстримизм или зальют кого....


        1. maledog
          19.08.2021 10:24
          #23387162

          Если вас заливают, вы идете и стучитесь к соседям. Если кто-то круглосуточно работает перфоратором вы стучитесь к соседям. Иногда консьерж ходит по квартирам с целью например познакомиться с жильцами. Сканирование портов это не нападение, а сбор информации с целью идентифицировать хост и хозяина. Попытка ввести дефолтный пароль конечно вопрос спорный, но тоже не вижу в этом особого криминала учитывая, что сеть принадлежит провайдеру и он за нее отвечает. Неправомерным тут было бы воспользоваться дефолтным паролем и получить доступ к информации.


          1. pvsur
            19.08.2021 11:32
            #23387580

            Если заливают или перфорируют (ддосят) вы имеете право задать вопрос и потребовать прекратить. Не заливают — не имеете.
            сбор информации с целью идентифицировать хост и хозяина — теоретически подготовка к нападению, поэтому вопросы от следователя ожидаемы, как и дальнейшие пиздюли. Очень часто теоретически переходит в практически, к сожалению. вам же не приходит в голову сканировать воинскую часть на предмет идентификации вооружения, почему-то… ожидаемо получите пулю или люлей.

            Свое оборудование оператор может проверять как хочет, — клиентское — это чужое, трогать его не надо, это вредно для здоровья… Может, действительно, сканирование портов что-то перегрузит на сети и в медицинской организации откажет реанимационное оборудование с последующей смертью пациоента, к примеру… Достанется и производителю, и вам, как инициатору… не отвертитесь.


            1. maledog
              19.08.2021 11:39
              #23387646

              Сканирование и DDoS разные вещи. Никто обычно не пытается при сканировании открыть все 2^16 портов и завалить их трафиком. Это в принципе невозможно сделать с одиночной машины. Если реанимационное оборудование оказалось неприкрытым во внешней сети - это уже вопрос к тем кто настраивал оборудование. Ведь завтра это оборудование может быть взломано и начнет меня атаковать, тогда я попытаюсь вычислить хозяина и результат будет тот же самый.


  1. pae174
    18.08.2021 17:53
    #23384758
    +2

    То странный случай, когда предлагаешь каким-то лохам свою крышу, а у них внезапно уже и покруче крыша есть :-)


  1. anonymous
    00.00.0000 00:00
    #23384836


    1. pae174
      18.08.2021 18:24
      #23384890
      +4

      Router Scan это брутфорсер - перебирает логины/пароли к маршрутизаторам.

      Это как выйти голым на улицу и обижатся что все видят тебя голым.

      Нет. Это всё равно как если бы к двери в мою квартиру припёрся бы челик с тысячей ключей и стал бы их все примерять к моему замку - а вдруг хоть один случайно подойдёт.


      1. AcidVenom
        18.08.2021 23:25
        #23385830
        -1

        Это всё равно как если бы к двери в мою квартиру припёрся бы челик с тысячей ключей и стал бы их все примерять к моему замку

        Замочную скважину не показывайте «челикам».


  1. anonymous
    00.00.0000 00:00
    #23385460


  1. anonymous
    00.00.0000 00:00
    #23384942


    1. Loggus66
      18.08.2021 19:08
      #23385026
      +1

      Если у клиента роутер в таком состоянии, то общаться с ним на тему смены пароля, обновления прошивок бессмысленно

      Вам лучше знать.

      Почему сканировал из своей сети как физик, а не из подсети провайдера

      Whitelist для сети провайдера, например.


  1. ZoomLS
    18.08.2021 20:10
    #23385248
    -2

    Дожили, уже за простое сканирование судят.


    1. Shaman_RSHU
      19.08.2021 13:33
      #23388418

      Повторюсь, Router Scan осуществляет не сканирование


    1. dartraiden
      19.08.2021 23:39
      #23390798
      +2

      Он не сканировал, а брутил оборудование клиентов на предмет дефолтных паролей и уязвимых прошивок. Без ведома этих самых клиентов. И нарвался на объект КИИ.