Группировка OneFirst удалила базу данных сети спутниковой связи “Гонец”, без которой сеть не может нормально функционировать.
Один из членов OneFist, известный как Thraxman, утверждает, что он успешно проник в CRM-систему "Гонца", использовав ошибку в конфигурации. Хакер мог просматривать содержимое баз данных, но не имел возможности повышать привилегии и скачать всю базу данных.
Однако группировка нашла другой способ нанести ущерб системе, когда поняла, что “Гонец” не может работать без CRM.
"Если клиент отправляет сообщение через эту спутниковую систему, идет проверка, на то, есть ли у него активный счет, через который производится оплата. Таким образом, если стереть все счета из базы данных, то ничего нельзя будет отправить", – сказал Thraxman.
Инцидент произошел 28 сентября. Так как хакеры не могли скачать базу данных или повысить свои привилегии в системе, им пришлось удалять все записи в базе данных CRM вручную, причем делать это нужно было быстро, так как администраторы регулярно проводили мониторинг.
Несмотря на успех атаки, администраторы “Гонца” восстановили доступ к системе 4 октября, через неделю после взлома. Эксперты предполагают, что столько времени ушло на поиск резервных копий БД и восстановления сервиса.
По словам другого хакера из OneFist, атака стала возможной из-за того, что база данных “Гонца” была распределена по нескольким системам, что сделало ее уязвимой. Кроме того, CRM спутниковой системы был подключен к интернету без какой-либо защиты или брандмауэра, что сильно упростило задачу группировки.
