Переиграли и уничтожили: как специалисты Resecurity «заскамили» хакеров ShinyHunters

Киберпреступники решили, что сорвали куш, а по факту лишь засветили свои «айпишники».

Хакерская группа ShinyHunters заявила о взломе инфраструктуры компании Resecurity и похищении внутренних данных. Однако в самой Resecurity уверены , что киберпреступникам удалось получить доступ лишь к специально созданной ловушке — изолированной системе с фальшивой информацией, предназначенной для наблюдения за действиями злоумышленников.

ShinyHunters опубликовали в Telegram скриншоты, якобы подтверждающие успешную атаку. По их словам, в руки группы попали данные сотрудников, внутренние сообщения, отчёты по киберугрозам и сведения о клиентах. В качестве доказательства были приведены изображения интерфейса Mattermost с перепиской, в том числе касающейся модерации вредоносного контента на Pastebin.

Сама группа называет себя «Scattered Lapsus$ Hunters», ссылаясь на связь с другими известными формированиями — Lapsus$ и Scattered Spider. Утверждается, что нападение стало ответом на попытки Resecurity изучить структуру группы через социальную инженерию .

Приватность умирает: успей узнать, как остаться невидимым. Подпишитесь на нас

Со стороны Resecurity позиция иная. Представители компании настаивают, что скомпрометированные системы не имели отношения к основной инфраструктуре. Согласно опубликованному 24 декабря отчёту, подозрительная активность была зафиксирована ещё в ноябре. Команда компании выявила признаки разведки со стороны внешнего источника и зафиксировала IP-адреса, связанные с Египтом и VPN-сервисом Mullvad.

В ответ на потенциальную угрозу специалисты Resecurity развернули изолированную среду с фальсифицированными данными, в которую был намеренно встроен аккаунт с доступом для наблюдаемого злоумышленника.

Система содержала поддельные записи, включая свыше 28 тысяч фиктивных пользовательских профилей и более 190 тысяч транзакций, оформленных в формате, соответствующем API Stripe. Целью такой ловушки было получение информации о поведении атакующего, его методах и инструментах.

В декабре Resecurity зафиксировала масштабную автоматизированную попытку выгрузки информации, когда злоумышленник с использованием прокси-сетей инициировал почти 190 тысяч запросов. В ходе атаки некоторые реальные IP-адреса временно становились видимыми из-за сбоев в соединении. Эти данные были переданы правоохранительным органам.

Впоследствии в ловушку добавили новые фальшивые данные, чтобы продолжить анализ поведения атакующего. Это привело к новым ошибкам с его стороны, что позволило сузить круг поиска его инфраструктуры. Также удалось выявить серверы, использовавшиеся для автоматизации атаки. По информации компании, один из международных правоохранительных партнёров даже инициировал запрос на выдачу, опираясь на полученные данные.

На момент публикации ShinyHunters не представили дополнительных доказательств, но пообещали в ближайшее время обнародовать новую информацию.