Забытый бэкап в открытой папке, слабый пароль без двухфакторной аутентификации, сегментация без контроля обходных маршрутов — эти три ошибки делают взлом почти неизбежным. В 2025 году DSEC (команда пентестеров с 23-летним стажем, входит в ГК «Солар») провела 390 пентестов — и в 78% случаев внешний периметр был пробит. Фишинг достигал цели всегда: хотя бы один сотрудник взаимодействовал с письмом — а в 86% случаев вводил пароль или открывал вложение.
Но главное — эти сценарии уже реализованы в реальных атаках. Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» фиксируют те же векторы: злоумышленники годами живут в сетях, крадут данные или уничтожают инфраструктуру — все из-за таких простых ошибок. Как именно это происходит — разбираем на примерах.
Забытый бэкап
Подобная ошибка нередко приводит к реальным инцидентам. Специалисты центра исследования киберугроз Solar 4RAYS расследовали атаку на медицинскую организацию, в инфраструктуру которой злоумышленники проникли через уязвимое веб-приложение собственной разработки заказчика. ИБ-служба организаии заметила вторжение, после чего зачистила часть систем и отключила приложение. Но пропустила Linux-сервер с менеджером паролей.
Через несколько месяцев атакующие вернулись, используя сохраненные учетные данные, скомпрометировали 1С, виртуализацию, доменные контроллеры, бэкапы и запустили шифровальщик через групповые политики. Итог — вымогательство и парализованная работа. А причина одна: одно пропущенное закрепление и пароли в открытом виде.
В другом случае, при внешнем пентесте образовательного учреждения команда DSEC обнаружила публично доступный zip-архив с исходным кодом. В файлах конфигурации находились учетные записи для подключения к базе данных. А на одном из сервисов висел отладочный скрипт для управления этой БД — без авторизации. Через него пентестеры получили полный доступ к базе: персональные данные всех учащихся, включая паспорта, телефоны и адреса.
В том же архиве обнаружили метод загрузки произвольных файлов. Никакой проверки — загрузили веб-шелл и «прорвались» во внутреннюю сеть. Веб-приложение было интегрировано с доменом через учетную запись администратора — пароль снова нашли в исходниках. В итоге команда получила полный контроль над инфраструктурой и доступ к ERP-системе с финансами учреждения. Все эти сведения могли легко оказаться в открытом доступе. И все это из-за одного забытого архива.
Слабые пароли
Эксперты Solar 4RAYS расследовали реальный инцидент в телеком-компании, когда злоумышленники атаковали администратора, обслуживавшего сразу две организации. В результате компрометация одной учетной записи дала доступ к двум независимым инфраструктурам. Через фишинговую ссылку хакеры получили его пароль и доступ к VPN. Дальше — классика: закрепились в инфраструктуре, установили стилер на почтовом сервере, который перехватывал учетные данные в незащищенном виде, и воровали конфиденциальную информацию из обеих компаний.
Инцидент расследовали долго: формально сети двух компаний были изолированы, и сетевой периметр между ними отсутствовал. Однако ИТ-администратор обслуживал обе инфраструктуры с одного рабочего места, используя одну учетную запись. После фишинга злоумышленники получили доступ к его сессии — и через легитимный канал проникли в обе сети. Так человеческий фактор позволяет обходить любую техническую сегментацию.
Похожий пример приводят и специалисты DSEC. При внешнем пентесте промышленной компании эксперты использовали особенность Autodiscover в почтовом клиенте и составили список всех учетных записей в домене. Дальше применили простой перебор по словарю. Пароли оказались слабыми. Так команде удалось получить доступ к 1С, HR-порталу, NextCloud, корпоративному порталу и другим сервисам.
В 1С есть легитимный функционал загрузки внешних оболочек. При этом некоторые украинские группировки успешно его эксплуатируют. Пентестеры загрузили через него веб-шелл, выполнили произвольный код на сервере и прорвались во внутреннюю сеть. Затем они нашли два вектора для получения прав главного администратора сети: первый — через уязвимые центры сертификации, второй — через компрометацию средства защиты, которое было интегрировано с доменом.
Имея полный контроль над сетью, команда проанализировала все NTLM-хэши пользователей и методом перебора подобрала пароли для половины сотрудников. В том числе пароли к платформе реагирования на инциденты (IRP). Главные ошибки, которые позволили пройти защиту: слабая парольная политика, отсутствие двухфакторной аутентификации и избыточные права у интеграций.
Вывод: слабые пароли или украденные через фишинг — разницы нет. При отсутствии двухфакторной аутентификации периметр рухнет.
Сегментация не спасла
Случай из практики Solar 4RAYS показывает, что иногда злоумышленники нацелены на полное уничтожение, не считаясь с границами сети. Группировка Shedding Zmiy атаковала ИТ-компанию для полного разрушения. Способ проникновения установить не удалось — инфраструктуру просто уничтожили.
Злоумышленники скомпрометировали гипервизор, все виртуальные машины, систему хранения данных и бэкапы, после чего безвозвратно все удалили. СХД была зашифрована так, что восстановление стало невозможным. Никаких требований выкупа, чистый деструктив.
Анализ показал: первые следы активности появились за год до финального удара. Но из-за отсутствия мониторинга внутреннего перемещения их не заметили. Сегментация была, а контроля перемещений внутри сети — нет. Если бы в компании регулярно проводили Compromise Assessment или мониторили аномальную сетевую активность, катастрофу можно было предотвратить.
Со случаем обхода сегментации столкнулись и специалисты DSEC. В финансовом блоке заказчика пентеста инфраструктура была разделена на два домена: корпоративный (для офисных задач) и процессинговый (для обработки платежей). Прямых доступов между ними не было — сегментация считалась надежной. Уже имея полный контроль над корпоративным доменом, что стало точкой «входа», специалисты DSEC поставили цель: скомпрометировать процессинг.
Несмотря на отсутствие прямых маршрутов, удалось обнаружить цепочку из пяти промежуточных хостов, через которые можно проксироваться. Пентестеры последовательно заходили на каждый хост, используя его как шлюз к следующему. Так получили сетевой доступ к процессинговому домену.
Затем команда DSEC использовала те же методы (слабые пароли, локальные уязвимости) и в итоге добилась полного контроля над процессинговым доменом. Ошибка заключалась не в отсутствии сегментации как таковой, а в том, что не было контроля над обходными маршрутами и мониторинга нестандартных сетевых соединений, не применялась единая политика управления доступом между сегментами.
Резюмируем: все перечисленные ошибки типовые, они повторяются из раза в раз, из компании в компанию. Что с этим делать? Взять за правило двухфакторную аутентификацию, контроль сегментации и мониторинг нестандартных соединений. А еще полезно регулярно проводить пентесты и Compromise Assessment.