Весна выдалась неудачной. Мы уже восемь месяцев бились об глухую стену, каждый цикл тестирования превращался в унылое подтверждение безупречности защиты. Где-то между третьим и четвертым кофе я смотрел в монитор, и, пожалуй, впервые за долгое время, всерьёз начал сомневаться: а можно ли это вообще взломать?
Подразделение, которое мы должны были атаковать в рамках пентеста и ред тим операций, не значилось ни в одном публичном реестре. Оно пряталось за аккуратно выстроенными холдингами и юридическими обёртками, название которых ничего не говорило даже тем, кто провёл жизнь в юридическом due diligence. Но его функция была предельно ясна: международная налоговая оптимизация. Простыми словами — это была та часть компании, где решались вопросы в миллиарды долларов, и где любой доступ к данным мог изменить исход переговоров, сделок, судебных процессов. Именно поэтому оно охранялось лучше, чем внутренние системы банков.
У них было всё: от double VPN и SOCKS5 на каждом узле, до сложной цепочки облаков, пиринговой синхронизации и сегментированных ключей доступа. Чеклист любого pentest-а сгорал бы от стыда, если бы увидел, с какой детальностью была выстроена инфраструктура. Но нам был нужен не чеклист. Нам была нужна брешь. И платили нам именно за это.
Два раза в месяц — такой у нас был ритм. Мы не согласовывали время, никто не должен был знать, когда и где мы ударим. Если получаем доступ — получаем премию, сопоставимую со стоимостью двухгодичного контракта обычного тестирования. Если нет — никто не спрашивает, почему. Просто продолжаем.
В какой-то момент стало ясно: техническими средствами мы ничего не добьёмся. Всё, что можно было отсканировать, уже отсканировано. Всё, что можно было забрутить, — уже забрутили. Мысль, как часто бывает, пришла не из теории, а из злости. Я отложил очередной отчёт и сказал вслух: «Если не через систему — значит, через людей».
Мы начали с анализа структуры. Не менеджеров. Не топов. Те слишком параноидальны. А вот секретари, инженеры, IT-операторы — те, кто обеспечивает жизнь систем, но не числится в прицеле разведки — идеальная мишень.
С помощью OSINT и психологического профилирования (PsyInt) мы составили карту связей внутри IT-отдела. Оттуда, шаг за шагом, стали собирать личные облака, альтернативные адреса и их повседневные привычки. Один из инженеров использовал Google Drive для хранения конфигов — неофициально, но удобно. У другого в архиве Telegram Desktop оказался зашифрованный файл с паролями. Простая фраза «ssh access» в заголовке намекала, что мы на правильном пути.
И вот оно — bingo. Среди множества малозначительных файлов — credentials к доменному регистратору. Сервисы были зарегистрированы на корпоративное юридическое лицо, но технический доступ имели всего два сотрудника. Один из них — наш объект. Мы получили контроль над настройками NS и DNS. Это был не просто успех — это была стратегическая победа. На этом уровне не важно, что у тебя на endpoint-е: Fortinet, SentinelOne, что угодно — если у тебя украли контроль над маршрутом, всё остальное становится театром.
Но мы не стали делать то, что делают типичные злоумышленники — захватить всё и обрушить систему. Нам нужен был не громкий успех, а тихая победа. Мы начали с малого: временное переключение MX-записей. Несколько часов утром — когда сотрудники в большинстве своём заняты встречами, а трафик стабильный. Мы настроили зеркальные копии серверов мессенджера и внутренней почты, которые срабатывали ровно на 20–30 минут, после чего управление возвращалось к оригинальным записям. Этого было достаточно.
Неделя такого «микрозахвата» — и у нас было всё: переписки с юристами, файлы планов реструктуризации, внутренние финансовые отчёты, документы о налоговой оптимизации в странах с режимами, которых лучше не называть в репортаже. Мы не просто получили доступ — мы продемонстрировали, что безопасность, как и в жизни, редко ломается там, где все смотрят. Она ломается в том месте, которое считают слишком малозначительным, чтобы за ним следить.
DNS Temporary Interception, как мы потом это назвали, стал хрестоматийным примером атаки через инфраструктурную тень. Это не был классический DNS Spoofing или Hijacking. Мы не внедряли вредонос, не подменяли IP, не запускали туннели. Мы просто — в строго определённые окна — перехватывали трафик и записывали то, что шло «внутри» системы. Мы не меняли маршруты — мы меняли пункт назначения.
Что мы вынесли из этой истории? Что в 21 веке, где вся безопасность построена на сертификациях и compliance, единственный рабочий метод — это креатив. Это не значит хаос. Это не значит нарушение закона. Это значит подход, при котором ты смотришь на архитектуру не как на набор систем, а как на сеть человеческих решений. Кто-то где-то когда-то решил сэкономить 15 минут — и использовал своё облако. Кто-то когда-то не выключил доступ к старому аккаунту. Кто-то доверился слишком простому механизму контроля доменов.
Безопасность — это психология. А хакер — это не тот, кто пишет код. Это тот, кто умеет распознавать паттерны человеческой уязвимости.
Сегодня, оглядываясь назад, я думаю: а можно ли было предотвратить такую атаку? Теоретически — да. На практике — вряд ли. Она лежит за пределами NIST, ISO или любого другого фреймворка. Она случается не из-за плохого фаервола, а из-за людей. Именно поэтому такие атаки и будут возможны — пока в системах работают не боты, а живые сотрудники, со своими привычками, страхами, слабостями.
А значит, работа Red Team будет всегда. И если вам кажется, что вы защищены, просто задайте себе вопрос: а кто сегодня контролирует ваш DNS?
PS: уже позже этот подход назовут DNSpionage после скандала в 2018-2019 году. Однако и сейчас такая методика остается крайне эффективной и мало изученной. При этом если более аккуратно выстроить линию атаки и дублирования серверов, то жертва может месяцами не замечать, что получает уже перенаправленный через MITM трафик. Ведь это настоящий СОРМ, который хакеры могут создать путем не таких уж и больших трудов.