Хакер скачал «антивирус» — и три месяца транслировал свои атаки ИБ-шникам в прямом эфире
NewsMakerНеосторожный клик — и вся инфраструктура у врагов как на ладони.
Компания Huntress оказалась в центре жаркой дискуссии после публикации исследования, которое её сотрудники изначально назвали забавным конфузом. Но за лёгкой подачей скрывался материал, разделивший киберсообщество на два лагеря — одни видели в нём редкую удачу для защитников, другие — этическую проблему.
Ситуация развивалась почти комично. Неизвестный злоумышленник , по неясным причинам, установил пробную версию EDR-системы Huntress прямо на свой рабочий компьютер. С этого момента его активность оказалась под пристальным наблюдением. В логах отразилось всё — от ежедневных действий до экспериментов с инструментами атак. Исследователи получили беспрецедентное окно в повседневность хакера и следили за его деятельностью три месяца.
Дополнительную иронию добавил факт, что атакующий параллельно установил премиум-расширение браузера Malwarebytes, пытаясь обезопасить себя в сети. Более того, он скачал саму EDR-систему, набрав в Google слово «Bitdefender» и кликнув на рекламную ссылку, ведущую к установочному пакету Huntress. В результате случайного клика защитники получили полный набор телеметрии , фактически устроив невольное наблюдение за эволюцией приёмов злоумышленника.
За три месяца удалось зафиксировать широкий спектр его действий: интерес к автоматизации атак, использование ИИ, работу с фишинговыми и эксплойт-китами, тестирование разных образцов вредоносного ПО. Судя по регулярному обращению к Google Translate, хакер владел тайским, испанским и португальским и переводил тексты на английский, что, вероятно, использовалось для рассылки фишинговых писем с целью кражи банковских учётных данных. Для исследователей подобный уровень детализации стал почти уникальной находкой, поскольку обычно такого доступа к инфраструктуре атакующих не бывает.
Полный отчёт Huntress опубликовала 9 сентября. Однако, опять же, юмористическая подача понравилась не всем. Вскоре после публикации прозвучали претензии к этической стороне работы . Генеральный директор Horizon3.ai Снехал Антани в соцсети X отметил , что столь глубокое наблюдение дало защитникам ценные данные, но одновременно поставило вопрос: вправе ли частная компания отслеживать действия противника столь детально, или после перехода к элементам разведки нужно было уведомить государственные структуры? Он задался вопросом, где проходит грань между «контрударом» и сдерживанием, когда злоумышленник перестаёт бояться поимки, но вынужден опасаться разоблачения.
Другие представители индустрии назвали это « вторжением в частную жизнь » со стороны вендора. Некоторые удивились, какой объём информации способны собирать подобные средства защиты.
Huntress в тот же день выступила с разъяснениями. Компания подчеркнула, что методы сбора данных полностью соответствуют практике индустрии, поскольку все EDR-системы обладают высоким уровнем видимости на заражённых машинах. Представители заявили, что исследователь наткнулся на этот случай во время анализа многочисленных срабатываний о запуске вредоносного кода. Позже удалось убедиться, что речь идёт о той же машине, которая уже фигурировала в других инцидентах, пока её владелец не загрузил пробную версию продукта Huntress.
В официальном комментарии компания отметила, что её работа всегда базируется на двух задачах: реагировании на угрозы и обучении профессионального сообщества. Эти цели и стали причиной публикации блога. Вендор заверил, что при выборе информации для публикации учитывал вопросы конфиденциальности и делился только теми данными из телеметрии, которые полезны защитникам и отражают реальные методы атак. По словам Huntress, в итоге получилось именно то, чего они добиваются — прозрачность, образовательный эффект и нанесение ущерба киберпреступникам.
Компания Huntress оказалась в центре жаркой дискуссии после публикации исследования, которое её сотрудники изначально назвали забавным конфузом. Но за лёгкой подачей скрывался материал, разделивший киберсообщество на два лагеря — одни видели в нём редкую удачу для защитников, другие — этическую проблему.
Ситуация развивалась почти комично. Неизвестный злоумышленник , по неясным причинам, установил пробную версию EDR-системы Huntress прямо на свой рабочий компьютер. С этого момента его активность оказалась под пристальным наблюдением. В логах отразилось всё — от ежедневных действий до экспериментов с инструментами атак. Исследователи получили беспрецедентное окно в повседневность хакера и следили за его деятельностью три месяца.
Дополнительную иронию добавил факт, что атакующий параллельно установил премиум-расширение браузера Malwarebytes, пытаясь обезопасить себя в сети. Более того, он скачал саму EDR-систему, набрав в Google слово «Bitdefender» и кликнув на рекламную ссылку, ведущую к установочному пакету Huntress. В результате случайного клика защитники получили полный набор телеметрии , фактически устроив невольное наблюдение за эволюцией приёмов злоумышленника.
За три месяца удалось зафиксировать широкий спектр его действий: интерес к автоматизации атак, использование ИИ, работу с фишинговыми и эксплойт-китами, тестирование разных образцов вредоносного ПО. Судя по регулярному обращению к Google Translate, хакер владел тайским, испанским и португальским и переводил тексты на английский, что, вероятно, использовалось для рассылки фишинговых писем с целью кражи банковских учётных данных. Для исследователей подобный уровень детализации стал почти уникальной находкой, поскольку обычно такого доступа к инфраструктуре атакующих не бывает.
Полный отчёт Huntress опубликовала 9 сентября. Однако, опять же, юмористическая подача понравилась не всем. Вскоре после публикации прозвучали претензии к этической стороне работы . Генеральный директор Horizon3.ai Снехал Антани в соцсети X отметил , что столь глубокое наблюдение дало защитникам ценные данные, но одновременно поставило вопрос: вправе ли частная компания отслеживать действия противника столь детально, или после перехода к элементам разведки нужно было уведомить государственные структуры? Он задался вопросом, где проходит грань между «контрударом» и сдерживанием, когда злоумышленник перестаёт бояться поимки, но вынужден опасаться разоблачения.
Другие представители индустрии назвали это « вторжением в частную жизнь » со стороны вендора. Некоторые удивились, какой объём информации способны собирать подобные средства защиты.
Huntress в тот же день выступила с разъяснениями. Компания подчеркнула, что методы сбора данных полностью соответствуют практике индустрии, поскольку все EDR-системы обладают высоким уровнем видимости на заражённых машинах. Представители заявили, что исследователь наткнулся на этот случай во время анализа многочисленных срабатываний о запуске вредоносного кода. Позже удалось убедиться, что речь идёт о той же машине, которая уже фигурировала в других инцидентах, пока её владелец не загрузил пробную версию продукта Huntress.
В официальном комментарии компания отметила, что её работа всегда базируется на двух задачах: реагировании на угрозы и обучении профессионального сообщества. Эти цели и стали причиной публикации блога. Вендор заверил, что при выборе информации для публикации учитывал вопросы конфиденциальности и делился только теми данными из телеметрии, которые полезны защитникам и отражают реальные методы атак. По словам Huntress, в итоге получилось именно то, чего они добиваются — прозрачность, образовательный эффект и нанесение ущерба киберпреступникам.