T1597.002: КУПІВЛЯ ТЕХНІЧНИХ ДАНИХ
Зловмисники купують технічну інформацію про потенційних жертв, яку можна використати для таргетингу. Дані можуть надходити як з легальних платних сервісів (бази сканування мереж, агрегатори техданих), так і з тіньових ринків (даркнет). Це дозволяє отримати доступ до закритих WHOIS-записів, пасивної історії DNS, списків відкритих портів або специфічних конфігурацій інфраструктури без прямого сканування мережі жертви.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть купувати технічну інформацію про жертв, яка може бути використана під час вибору цілі. Інформація про жертв може бути доступна для купівлі в авторитетних приватних джерелах і базах даних, таких як платні підписки на фіди баз сканування або інші сервіси агрегації даних. Зловмисники також можуть купувати інформацію з менш авторитетних джерел, таких як даркнет або кіберзлочинні «чорні ринки».
Зловмисники можуть купувати інформацію про вже ідентифіковані цілі або використовувати куплені дані для пошуку можливостей для успішних зламів. Суб’єкти загроз можуть збирати різні технічні деталі з куплених даних, включаючи (але не обмежуючись) контактну інформацію співробітників, облікові дані або специфіку інфраструктури жертви. Інформація з цих джерел може виявити можливості для інших форм розвідки (наприклад, фішинг для отримання інформації або пошук на відкритих вебсайтах/доменах), розгортання оперативних ресурсів (наприклад, розробка або отримання можливостей) та/або отримання початкового доступу (наприклад, зовнішні сервіси віддаленого доступу або дійсні облікові записи).
Чому купівля даних — це «невидима» загроза?
- Купівля технічних даних дозволяє хакеру дізнатися про вашу мережу майже все, не відправивши жодного пакету на ваші сервери. Це робить традиційні системи виявлення вторгнень (IDS) абсолютно безпорадими на етапі розвідки.
- Пасивна розвідка (Passive Recon): Замість того, щоб сканувати ваші порти за допомогою nmap (що викличе тривогу в SOC), хакер купує доступ до бази на кшталт Shodan Enterprise або Censys, де вже є готові результати сканування вашої мережі.
- Історія інфраструктури: Зловмисники купують історичні дані Passive DNS, щоб побачити, які піддомени у вас були раніше. Часто старі тестові сервери (https://www.google.com/search?q=dev.company.com) забувають захистити, і вони стають точкою входу.
- Ринок первинного доступу (IAB): Часто техдані купуються у Initial Access Brokers, які вже мають доступ до вашої мережі, але продають його іншим групам для проведення фінальної стадії атаки (наприклад, шифрування).
Сценарії атак (Technical Pretexts):
- «Експлуатація забутих сервісів»: Хакер купує базу даних IP-сканувань за минулий рік і знаходить ваш старий VPN-шлюз, який не оновлювався і має критичну вразливість. Ви про нього забули, а він досі в мережі.
- «Таргетований брутфорс»: Через куплені витоки з техфорумів зловмисник дізнається, що ваші адміністратори використовують специфічний формат логінів (наприклад, u_name_dept). Це значно полегшує підбір паролів до RDP.
- «Shadow IT»: Купівля даних про реєстрацію доменів дозволяє знайти сервери, які ваші розробники підняли в обхід ІТ-відділу (Shadow IT). Ці сервери зазвичай найменш захищені.
Як захиститися?
- Моніторинг «цифрового сліду» (Digital Footprint): Використовуйте сервіси, які показують вашу компанію «очима хакера». Якщо ваша інфраструктура з’явилася в публічних базах сканування — ви в зоні ризику.
- Гігієна WHOIS та DNS: Використовуйте сервіси приховування даних реєстрації та видаляйте непотрібні записи DNS (особливо записи типів A та TXT), щойно вони перестають бути потрібними.
- Зміна логіки автентифікації: Оскільки ваші технічні дані (структура логінів, IP-адреси) можуть бути куплені, єдиний надійний захист — це MFA (багатофакторна автентифікація), яка робить куплені паролі марними.