На прошлой неделе ИБ-компания Huntress опубликовала исследование, основанное на том, что злоумышленник установил пробную версию ее продукта. Однако в итоге компания подверглась критике, так как у многих возникли опасения по поводу уровня доступа Huntress к системам клиентов, даже если те установили только бесплатную пробную версию EDR-инструмента.
В своем отчете исследователи рассказывали о том, что им представился «редкий случай» изучить хакерские операции изнутри, так как злоумышленник имел неосторожность установить пробную версию EDR-продукта компании. Более того, хакер также интересовался другими защитными решениями и использовал премиум-расширение Malwarebytes для браузера, стараясь скрыть свою онлайн-активность.
Логи Huntress показали, что все началось с того, что атакующий выполнил в Google поиск по запросу «Bitdefender», но в итоге скачал пробную версию EDR Huntress по спонсорской ссылке Google, появившейся в верхней части результатов поиска.
После этого специалисты Huntress получили возможность отслеживать всю активность злоумышленника, что и делали в течение трех месяцев.
«Мы поняли, что это злоумышленник, а не легитимный пользователь, основываясь на нескольких ярких признаках. Тревожным сигналом стало то, что уникальное имя компьютера, используемое атакующим, совпадало с именем, которое мы отслеживали ранее в рамках нескольких инцидентов (до установки им нашего агента). Дальнейшее расследование выявило другие улики, включая историю браузера злоумышленника, которая, по-видимому, свидетельствовала о его попытках активно атаковать организации, создавать фишинговые сообщения, находить экземпляры Evilginx и получать к ним доступ, и многое другое. Также мы подозреваем, что компьютер, на который было установлено решение Huntress, использовался в качестве jump box несколькими злоумышленниками, но на данный момент у нас нет убедительных доказательств», — писали исследователи.
Глядя на обширное использование Google Translate, исследователи пришли к выводу, что атакующий, по-видимому, понимал тайский, испанский и португальский языки. Так, хакер регулярно использовал перевод для конвертации сообщений на английский язык, а затем, вероятно, применял полученные тексты в фишинговых кампаниях, нацеленных на сбор банковских учетных данных.
Однако многие сочли отчет экспертов Huntress весьма тревожным. Хотя некоторые ИБ-специалисты и пользователи согласились с оценкой производителя, и сочли ситуацию, когда хакер установил пробную версию EDR-инструмента, забавной. Другие стали высказывать опасения по поводу уровня доступа компании к системам клиентов.
«Это дало защитникам уникальные инсайты, но также подняло реальный вопрос: должна ли частная компания иметь право отслеживать злоумышленника таким образом, или она была обязана уведомить власти, как только это перешло от реагирования на инциденты к сбору разведданных?» — писал CEO Horizon3.ai Снехал Антани (Snehal Antani).
Другие специалисты называли случившееся «полным нарушением приватности» со стороны производителя.
В итоге представители Huntress были вынуждены обновить свой отчет, добавив к исходной публикации официальное заявление. В нем компания отвечает на поднятые сообществом вопросы этичности случившегося, а также разъясняет, как работает ее продукт, и какой на самом деле уровень доступа к системе злоумышленника (и системам клиентов в целом) есть у сотрудников.
В компании заявили, что методология исследования повторяла ту, что используется любыми другими EDR-вендорами, и такие инструменты всегда будут иметь обширный доступ к данным хост-систем.
«Мы впервые столкнулись с хостом, упомянутым в этой публикации, потому что отреагировали на многочисленные оповещения, связанные с выполнением на нем вредоносного ПО. В рамках этого процесса наша команда SOC внимательно изучает сигналы и собирает артефакты, связанные с телеметрией EDR на хосте. Только при дальнейшем изучении этой телеметрии мы обнаружили сигналы, указывающие на вредоносное поведение. Кроме того, к этому моменту мы обнаружили, что уникальное имя машины, используемое этим человеком, совпадало с именем, которое мы отслеживали в нескольких инцидентах», — объясняют в компании.
Также подчеркивается, что агент Huntress не имеет возможностей вроде удаленного доступа к экрану или создания скриншотов. Все упомянутые в статье примеры из истории браузера злоумышленника «были получены путем исследования форензик-логов и артефактов, относящихся к алертам о вредоносном поведении, наблюдавшимся на эндпоинте». А изображения в статье были попросту воссозданы «по мотивам» действий хакера.
«Принимая решение о том, какую информацию публиковать по этому расследованию, мы тщательно взвесили несколько факторов, включая строгое соблюдение наших обязательств по конфиденциальности, а также предоставление EDR-телеметрии, которая отражает именно те угрозы и поведенческие паттерны, что могут помочь защитникам. В целом это расследование отражает то, что мы умеем лучше всего: прозрачность, образование и борьбу с хакерами», — резюмируют в Huntress.
