Хакери тврдат дека ја хакирале Resecurity, компанијата вели дека станувало збор за honeypot

Заканувачки актери поврзани со „Scattered Lapsus$ Hunters“ (SLH) тврдат дека ги пробиле системите на сајбер-безбедносната компанија Resecurity и украле внатрешни податоци, додека Resecurity наведува дека напаѓачите имале пристап само до намерно поставен honeypot што содржел лажни информации, користени за следење на нивната активност.

Денес, заканувачките актери објавија скриншотови на Telegram од наводниот пробив, тврдејќи дека украле податоци за вработени, внатрешни комуникации, извештаи за заканувачка разузнавачка дејност и информации за клиенти.

„Би сакале да објавиме дека добивме целосен пристап до системите на Resecurity“, напиша групата на Telegram, тврдејќи дека украла „сите внатрешни разговори и логови“, „целосни податоци за вработените“, „извештаи поврзани со разузнавање за закани“ и „комплетна листа на клиенти со детали“.

Како доказ за своите тврдења, заканувачките актери објавија скриншотови за кои тврдат дека биле украдени од Resecurity, вклучувајќи и она што изгледа како инстанца за соработка Mattermost, на која се прикажани комуникации помеѓу вработени во Resecurity и персонал на Pastebin во врска со злонамерна содржина хостирана на платформата за споделување текст.

Заканувачките актери, кои себеси се нарекуваат „Scattered Lapsus$ Hunters“ поради наводното преклопување помеѓу заканувачките групи ShinyHunters, Lapsus$ и Scattered Spider, изјавија дека нападот бил одмазда за, како што тврдат, тековните обиди на Resecurity да ја социјално манипулира групата и да дознае повеќе за нејзините операции.

Заканувачките актери велат дека вработени во Resecurity се претставувале како купувачи за време на продажбата на наводна база на податоци од финансискиот систем на Виетнам, при што барале бесплатни примероци и дополнителни информации.

По објавувањето на оваа статија, портпаролот на ShinyHunters изјави за BleepingComputer дека тие не биле вклучени во оваа активност. Иако ShinyHunters отсекогаш тврделе дека се дел од „Scattered Lapsus$ Hunters“, тие наведуваат дека не учествувале во овој напад.

Resecurity вели дека станувало збор за honeypot

Resecurity ги оспорува тврдењата на заканувачките актери, наведувајќи дека наводно пробиените системи не се дел од нивната легитимна продукциска инфраструктура, туку биле honeypot поставен со цел да ги привлече и следи напаѓачите.

Откако BleepingComputer стапи во контакт со Resecurity во врска со тврдењата, компанијата сподели извештај објавен на 24 декември, во кој наведува дека првпат детектирала заканувачки актер кој ги испитувал нивните јавно изложени системи на 21 ноември 2025 година.

Компанијата соопшти дека нејзиниот DFIR тим рано ги идентификувал индикаторите за извидување и евидентирал повеќе IP-адреси поврзани со актерот, вклучително и такви што потекнувале од Египет и од VPN услугите на Mullvad.

Resecurity наведува дека како одговор поставила „honeypot“ сметка во изолиранa околина, која му овозможила на заканувачкиот актер да се најави и да интерактира со системи што содржеле лажни податоци за вработени, клиенти и плаќања, додека истовремено бил следен од истражувачите. Honeypot е намерно изложен и надгледуван систем или сметка, дизајнирани да ги намамат напаѓачите, со цел нивно набљудување и анализа и прибирање разузнавачки информации за нивната активност, без ризик за реални податоци или инфраструктура.

Компанијата вели дека го пополнила honeypot-от со синтетички збирки на податоци, дизајнирани да наликуваат што е можно поблиску на реални деловни податоци. Тие вклучувале повеќе од 28.000 синтетички потрошувачки записи и над 190.000 синтетички записи за трансакции со плаќања, генерирани според официјалниот API формат на Stripe.

Според Resecurity, заканувачкиот актер во декември започнал обиди за автоматизирано извлекување на податоци, при што генерирал повеќе од 188.000 барања во периодот од 12 до 24 декември, користејќи голем број резиденцијални proxy IP-адреси.

За време на оваа активност, компанијата наведува дека собрала телеметрија за тактиките, техниките и инфраструктурата на напаѓачот.

Resecurity тврди дека напаѓачот во повеќе наврати накратко ги изложил потврдените IP-адреси поради откажување на proxy-конекциите и дека собраните разузнавачки информации биле пријавени до органите на прогонот.

По забележување на дополнителна активност, Resecurity наведува дека додала уште лажни збирки на податоци со цел да го проучи однесувањето на напаѓачот, што довело до нови OPSEC-пропусти и помогнало да се стесни инфраструктурата на заканувачкиот актер. Компанијата вели дека подоцна идентификувала сервери користени за автоматизација на нападот преку резиденцијални proxy-услуги и дека и тие информации биле споделени со органите на прогонот.

„Откако актерот беше лоциран со користење на достапна мрежна разузнавачка информација и временски ознаки, странска организација за спроведување на законот, партнер на Resecurity, издаде барање за судска покана (subpoena) во врска со заканувачкиот актер“, соопшти Resecurity.

Во моментот на пишување, заканувачките актери немаат доставено дополнителни докази, туку само објавиле нова порака на Telegram во која наведуваат дека наскоро ќе следат повеќе информации.

„Убаво справување со штетата, Resecurity. Наскоро следуваат повеќе информации!“, стои во објавата на Telegram.

Извори:

• Bleeping Computer – Hackers claim to hack Resecurity, firm says it was a honeypot Bleeping Computer