По информации «РБК», ФСБ возбудила уголовное дело о попытке взлома сетевым инженером структуры «Ростеха». Бывший сотрудник техподдержки интернет-провайдера «Макснет Системы» (бренд Maxnet) Никита Демидов подозревается во взломе компьютерной сети Обнинского научно-производственного предприятия «Технология» им. А. Г. Ромашина. Сетевой специалист рассказал «РБК», что он не занимался взломом, а наоборот пытался пресечь атаку извне на ресурсы клиентов, проверяя их роутеры на наличие уязвимостей.
Демидов предложил своему руководителю сканировать оборудование связи в сетях клиентов, чтобы предупредить о том, что там нужно сменить штатные настройки и пароли, а также обновить прошивки сетевого оборудования.
Инженер некоторое время сканировал все сети клиентов с помощью бесплатной утилиты Router Scan. Среди сканируемых адресов оказался IP-адрес ОНПП «Технология», на котором находился электронный почтовый ящик предприятия. Именно в этот момент его деятельность зафиксировала Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Система была подключена к сети связи «Технологии», так как это предприятие является оборонным и его информационные системы являются объектами критической информационной инфраструктуры, атака на которые по части 1 статьи 274.1 УК РФ (создание, распространение или использование программ, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России) предусматривает лишения свободы на срок от двух до пяти лет со штрафом в размере до 1 млн руб.
Через несколько дней после проведения этапа сканирования к Демидову пришли с обыском сотрудники ФСБ и изъяли личный компьютер. Позже против него было возбуждено уголовное дело.
Адвокат Демидова отправил запрос администрации «Технологии» и попытался выяснить, нанес ли этот взлом ущерб предприятию. Ему был дан отрицательный ответ. Так же защите непонятна суть обвинения, так как почтовый сервер электронной почты «по определению не является критической инфраструктурой, поскольку влияние его выхода на деятельность предприятия минимально».
Эксперт «РБК» пояснил, что действия Демидова можно считать пентестом, но при условии, если бы клиенты провайдера согласились перед этим на сканирование своего сетевого оборудования. По факту этого провайдер и инженер официально не сделали перед началом сканирования систем клиентов. Проблема еще в том, что Демидов проводил сканирование сетей клиентов из дома с домашнего компьютера. Он работал удаленно, его вычислили по домашнему IP-адресу. В итоге ФСБ все обвинения предъявила ему как физлицу, а не как представителю компании.
В настоящее время идет следствие по этому делу, специалисты обвинения проводят дополнительную экспертизу изъятого у Демидова компьютера.
Комментарии (26)
Sensimilla
18.08.2021 16:36+3шикарно... сколько тысяч домашних компов с установленными троянами, работы просто невпроворот
EnterSandman
18.08.2021 16:55+5Занимательно.
-Узнаем адрес какого-нибудь сервера ростеха.
-Приходим в кафе, где вам нахамили
-Сканируем через их вайфай порты сервера
-Геморрой сам найдет обидчика.
Озлобленные все стали какие-то
drygdryg
18.08.2021 21:32+1Чтобы таких инцидентов не было, в России с 2014 года действует закон, который обязует владельцев свободных/публичных сетей Wi-Fi аутентифицировать всех пользователей этих сетей через номера мобильных телефонов (то есть идентифицировать их).
https://lawnotes.ru/pravitelstvo/postanovlenie-pravitelstva-rf-ot-31.07.2014-n-758
pvsur
18.08.2021 17:21+5Хуже безинициативного идиота только идиот инициативный…
С какого х… ра лезть в чужие сети чтобы «проверяя их роутеры на наличие уязвимостей.»…
Сиди себе на жопе ровно, оказывай услуги связи. Считай клиентские сети недоверенными и защищай от них свою инфраструктуру. Проблемы взлома клиента — проблемы клиента.
Нашел себе головняк на ровном месте.maledog
18.08.2021 18:07+5А потом твою подсеть целиком включат в черный список из-за массовой рассылки спама или попыток DDoS, когда клиенстские роутеры присодинятся к какому-нибудь mirai и придется постараться, чтобы из этого списка выбраться. Результат получится почти тот же самый, если этот ботнет направят на kremlin.ru.
Что криминального в сканировании портов? На данном адресе было написано что он принадлежит секретному предприятию?
pvsur
18.08.2021 18:27-3Ну давайте тогда шариться по квартирам соседей, заглядывать в окна, указывать на незадернутые шторы, и капающие краны а то вдруг екстримизм или зальют кого....
maledog
19.08.2021 10:24Если вас заливают, вы идете и стучитесь к соседям. Если кто-то круглосуточно работает перфоратором вы стучитесь к соседям. Иногда консьерж ходит по квартирам с целью например познакомиться с жильцами. Сканирование портов это не нападение, а сбор информации с целью идентифицировать хост и хозяина. Попытка ввести дефолтный пароль конечно вопрос спорный, но тоже не вижу в этом особого криминала учитывая, что сеть принадлежит провайдеру и он за нее отвечает. Неправомерным тут было бы воспользоваться дефолтным паролем и получить доступ к информации.
pvsur
19.08.2021 11:32Если заливают или перфорируют (ддосят) вы имеете право задать вопрос и потребовать прекратить. Не заливают — не имеете.
сбор информации с целью идентифицировать хост и хозяина — теоретически подготовка к нападению, поэтому вопросы от следователя ожидаемы, как и дальнейшие пиздюли. Очень часто теоретически переходит в практически, к сожалению. вам же не приходит в голову сканировать воинскую часть на предмет идентификации вооружения, почему-то… ожидаемо получите пулю или люлей.
Свое оборудование оператор может проверять как хочет, — клиентское — это чужое, трогать его не надо, это вредно для здоровья… Может, действительно, сканирование портов что-то перегрузит на сети и в медицинской организации откажет реанимационное оборудование с последующей смертью пациоента, к примеру… Достанется и производителю, и вам, как инициатору… не отвертитесь.maledog
19.08.2021 11:39Сканирование и DDoS разные вещи. Никто обычно не пытается при сканировании открыть все 2^16 портов и завалить их трафиком. Это в принципе невозможно сделать с одиночной машины. Если реанимационное оборудование оказалось неприкрытым во внешней сети - это уже вопрос к тем кто настраивал оборудование. Ведь завтра это оборудование может быть взломано и начнет меня атаковать, тогда я попытаюсь вычислить хозяина и результат будет тот же самый.
pae174
18.08.2021 17:53+2То странный случай, когда предлагаешь каким-то лохам свою крышу, а у них внезапно уже и покруче крыша есть :-)
anonymous
00.00.0000 00:00pae174
18.08.2021 18:24+4Router Scan это брутфорсер - перебирает логины/пароли к маршрутизаторам.
Это как выйти голым на улицу и обижатся что все видят тебя голым.
Нет. Это всё равно как если бы к двери в мою квартиру припёрся бы челик с тысячей ключей и стал бы их все примерять к моему замку - а вдруг хоть один случайно подойдёт.
AcidVenom
18.08.2021 23:25-1Это всё равно как если бы к двери в мою квартиру припёрся бы челик с тысячей ключей и стал бы их все примерять к моему замку
Замочную скважину не показывайте «челикам».
ZoomLS
18.08.2021 20:10-2Дожили, уже за простое сканирование судят.
dartraiden
19.08.2021 23:39+2Он не сканировал, а брутил оборудование клиентов на предмет дефолтных паролей и уязвимых прошивок. Без ведома этих самых клиентов. И нарвался на объект КИИ.
ky0
Вот так, запустишь nmap из дома - а через год (примерно столько прошло между сканированием и возбуждением) какой-нибудь желающий повышения ибэшник проснётся, покурит логи, и всё заверте...
deadMamonth
А при чем тут год, понятно что стереотипы про не очень умных фсбшниковх, дырявые сети гос контор и прочие радости, но судя по статье там буквально пара дней прошло.
ky0
Я ориентировался вот на этот материал - всё-таки к хабровским "редакторам" доверия значитально меньше :) Там написано - середина 2020.
drygdryg
Nmap (без скриптов) — это не Router Scan: программа не подбирает пароли, не эксплуатирует уязвимости, в отличие от Router Scan, а только сканирует устройства и пытается собрать информацию о них на основе публичных данных (например, определить операционную систему на основе отпечатка TCP/IP).
x86corez
Помнится, есть такой хештег #KilledByNmap, которым помечают всякие весёлые и не очень случаи, произошедшие
по вине этой программыкого-то, кто использовал эту программу. Видимо теперь нужно вводить #KilledByRouterScan :)dartraiden
Тем не менее, в договоре с провайдером иногда можно встретить запрет сканирования портов чужих машин. Потому что часто это прелюдия к атаке.