Взлом ноутбука подрядчика привел к eBPF-руткиту и скрытой утечке БД

История о том, как взлом ноутбука внешнего DevOps-инженера превратился в многолетнюю угрозу внутри корпоративного периметра, демонстрирует новую реальность атак через цепочку поставок. Вместо масштабных взломов вроде SolarWinds, сегодняшние риски часто исходят от обычных подрядчиков. В данном случае зловред, проникший через скомпрометированный ноутбук, внедрил в Linux-системы eBPF-руткит — инструмент, позволяющий злоумышленникам годами оставаться незамеченными и систематически выкачивать базы данных, в то время как все сервисы для бизнеса продолжали работать штатно.

Атака была раскрыта не благодаря сложным системам мониторинга, а из-за случайной оплошности самих злоумышленников. Этот инцидент подчеркивает уязвимость, которую создает зависимость от внешних администраторов и инженеров. Их личные устройства, часто менее защищенные, чем корпоративная инфраструктура, становятся идеальной точкой входа для продвинутых угроз, способных глубоко укорениться в сети.

Случай служит жестким предупреждением для любого бизнеса, использующего услуги подрядчиков для IT-администрирования. Риск заключается не только в прямом взломе, но и в установке скрытых, сложно обнаруживаемых инструментов, таких как eBPF-руткиты. Это требует пересмотра политик безопасности для стороннего доступа, усиленного мониторинга нестандартной активности на уровне ядра и осознания, что угроза может долго оставаться невидимой, пока критичные данные незаметно утекают.