Третий выпуск рубрики #ПростоФинтех_Kaspersky: кейс Минфина США — как взлом рабочих мест разрушил периметр безопасности.

Спойлер: хакеры зашли через доверенный инструмент.

Что случилось

В декабре 2024 вендор удалённой поддержки BeyondTrust сообщил Минфину США, что злоумышленники получили облачный API-ключ к их сервису Remote Support SaaS, что позволило сбрасывать локальные пароли в отдельных инстансах и заходить на рабочие станции сотрудников Минфина под видом доверенного инструмента. Инцидент квалифицирован как «значительный».

Первичная точка — компрометация инфраструктурного API-ключа, который использовали для операций администрирования. Доступ позволил злоумышленникам попасть на рабочие станции Минфина и читать/копировать несекретные документы «как свои».

Проблема в том, что доступ с доверенного инструмента позволяет переместиться на рабочие станции, а там есть сессионные токены, сохранённые учётки, локальные клиенты с расширенными правами. Дальше — горизонтальное перемещение, повышение привилегий, сбор данных. В моменте отследить внутреннюю атаку сложно.

Как минимизировать риски

Конечная точка — ахиллесова пята, потому что именно на ПК копятся кэши, токены, разрешённые клиенты, следы прошлых сессий. При модели тонких клиентов нет локальных данных, нельзя запустить произвольное ПО или подсунуть вредоносный файл, профили доступа и периферии изолированы: даже при компрометации одной сессии атакующему сложно пойти дальш

е.

#реклама АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО»