Sisukord
MOVEit Transferi tarkvara haavatavuse ärakasutamine paljastab Ühendkuningriigi ettevõtete tundlikud andmed ja seab ohtu töötajate turvalisuse
Mitmed silmapaistvad Ühendkuningriigi ettevõtted, sealhulgas BBC, British Airways, Boots ja Aer Lingus, on langenud olulise küberintsidendi ohvriks. Rikkumine paljastas pahatahtlikele häkkeritele töötajate isikuandmed, sealhulgas tundlikud andmed, nagu panga- ja kontaktandmed. See küberturvalisuse rikkumine on omistatud lunavararühmale, mida tuntakse nime all Clop, mis oli suunatud konkreetselt MOVEiti failiedastustarkvara haavatavustele. Juhtum on tekitanud muret ettevõtte andmete turvalisuse ja võimaliku mõju pärast mõjutatud töötajatele.
Reutersile e-kirja teel saadetud julges avalduses võtsid häkkerid rünnaku eest uhkusega vastutuse, andes külmavärina hoiatuse, et need, kes julgesid oma lunarahanõudmisi trotsida, puutuvad nende rühmituse veebisaidil avalikkuse ette. Varasemad Microsofti juurdlused olid juba osutanud näpuga ühele venekeelsele lunavarajõugule , andes mõista nende seotuse juhtumiga. Šokeeriv paljastus avanes eelmisel nädalal, kui küberturvalisuse eksperdid avalikustasid Progress Software poolt välja töötatud laialdaselt kasutatavas failiedastussüsteemis MOVEit, mis on nullpäeva haavatavus – ohtlik viga. See haavatavus oli värav küberkurjategijatele, et tungida sisse ja hankida tundlikku teavet paljudest ülemaailmsetest ettevõtetest, mis tuginevad MOVEit Transferile.
Lugematud organisatsioonid langevad laialdase mõju ohvriks
Šokeeriv paljastus avanes esmaspäeval, kui Ühendkuningriigis asuv palgaarvestuse pakkuja Zellis kinnitas, et kaheksa tema klienti on langenud küberintsidendi ohvriks. Kuigi mõjutatud organisatsioonide nimesid ei avalikustatud, tunnistas British Airways (BA) oma osalust ängistavas olukorras. Kuna Ühendkuningriigis töötab 34 000 inimest, on lennufirma kokkupuude rikkumisega väga murettekitav.
Kaosesse sattusid ka BBC ja Boots, kes on tuntud oma 50 000 töötajaga suure personali poolest. Kuigi ringhääling avaldas kergendust, et tema töötajate pangaandmed jäid turvaliseks, said ettevõtte isikut tõendavad ja riiklikud kindlustusnumbrid ohtu. BA tütarfirma Aer Lingus kinnitas, et juhtum puudutas nii praegusi kui ka endisi töötajaid. Selle murettekitava sündmuse käigus ei ohustatud aga ühtegi finants- ega pangateavet ega telefoninumbreid.
Progress Software'i MOVEit Transfer toote nullpäeva haavatavus on märkimisväärselt mõjutanud paljusid ettevõtteid kogu maailmas. Ettevõtte ametnikud on aga rõhutanud, et kogu Zellile kuuluv tarkvara jääb puutumatuks ning tema IT-infrastruktuuri muude aspektidega seoses pole teatatud intsidentidest ega kompromissidest.
Rünnaku päritolu uurimine: potentsiaalsete Venemaa seostega ohuklaster
Küberjulgeolekufirma Maidant hiljutised leiud heidavad valgust rünnaku päritolule, identifitseerides selle kui "vastloodud ohuklastri" nimega UNC4857. See klaster hõlmab tuntud küberkurjategijate rühmitusi, nagu FIN11 , TA505 ja Clop , kes on loonud ühendused Venemaaga. Rünnaku motiiv, olgu selleks poliitilised või rahalised eesmärgid, jääb siiski ebaselgeks. Kui varem on FIN11 tegutsenud üksnes andmete lunarahaga seotud kuritegeliku organisatsioonina, siis tekib küsimus, kas juhtumi taga on need tuttavad kuritegelikud võrgustikud või on tegemist ideoloogiliste motiividega küberpalgasõduritega.
Huvitav on see, et MOVEiti rünnaku ohvrite ulatus ulatub eeldatavatest sihtmärkidest kaugemale. Ohvriks on langenud ka Nova Scotia valitsus, mis on riigi toetatud näitleja jaoks ebatõenäoline sihtmärk. Aruanded näitavad, et rünnak võis ohustada umbes 2500 MOVEiti serverit, võimendades rikkumise ulatust ja mõju. IT-haldustarkvara arendaja Ipswitch ei ole enne paranduse rakendamist veel avalikustanud nende ettevõtete arvu, kes intsidendi ajal nende tarkvara kasutasid.
Mis ootab ohvreid ees: tagajärjed ja väljavaated
Olukorra arenedes peavad ohvriorganisatsioonid valmistuma võimalikeks väljapressimiskatseteks, varastatud andmete avalikuks avaldamiseks ja võimaluseks, et ähvardaja võib saada avalikult häbi. Tõenäoliselt võtavad küberkurjategijad peagi ühendust oma ohvritega, esitavad väljapressimisnõudeid ja sihivad süstemaatiliselt nende nimekirjas olevaid inimesi. Edasiste kahjustuste eest kaitsmiseks on soovitatav, et kõik organisatsioonid, olenemata tarkvara parandamise ajast, viiksid läbi oma süsteemide põhjaliku kohtuekspertiisi analüüsi, kui MOVEiti veebiliides puutus kokku Internetti.
Küberturvalisuse rikkumise avalikustamine: BA, BBC ja Boots paljastavad kontakt- ja pangaandmed ekraanipilti
