Компании и госструктуры регулярно становятся жертвами атак через учётные записи уволенных сотрудников, которые никто не отключил. Именно так группировка Shedding Zmiy проникла в сеть российской государственной медицинской организации — через старые VPN-аккаунты бывших работников — и больше полугода выкачивала данные из внутренних баз, пока её не обнаружили. Служба безопасности замечала отдельные странности, но источник так и не установила: антивирус вредоносные компоненты не поймал, а про старые аккаунты просто забыли.
Проникнув внутрь, атакующие нашли сервер с базами данных, защищённый слабым паролем, и двинулись дальше. Под удар попали учётные записи действующих сотрудников, через которые злоумышленники перемещались по инфраструктуре и заражали системы. Установленный модуль вытягивал данные из браузеров и делал скриншоты экранов, что дало доступ не только к корпоративным базам, но и к происходящему непосредственно на устройствах.
По словам руководителя Центра компетенций сетевой безопасности «Софтлайн Решения» Николая Спирихина, подобные атаки давно стали массовыми и бьют по банкам, страховщикам, заводам, больницам и госорганам. Сценарий везде стандартный: изучение систем, получение новых уровней доступа, оживление забытых аккаунтов, сбор ценных данных. Нередко атака перекидывается на партнёров и дочерние структуры, многократно увеличивая масштаб ущерба. И всё это становится возможным не из-за сложных инструментов, а из-за того, что никто вовремя не убрал лишний аккаунт из системы.