Turinys
Išnaudojus MOVEit Transfer programinės įrangos pažeidžiamumą, JK įmonių duomenys atskleidžiami neskelbtinais duomenimis ir kelia pavojų darbuotojų saugumui
Keletas žinomų JK įmonių, įskaitant BBC, British Airways, Boots ir Aer Lingus, tapo reikšmingo kibernetinio incidento aukomis. Dėl pažeidimo piktybiniams įsilaužėliams buvo atskleista darbuotojų asmeninė informacija, įskaitant slaptus duomenis, pvz., banko ir kontaktinius duomenis. Šis kibernetinio saugumo pažeidimas buvo priskirtas išpirkos reikalaujančių programų grupei, žinomai kaip Clop, kuri konkrečiai nusitaikė į MOVEit failų perdavimo programinės įrangos spragas. Įvykis sukėlė susirūpinimą dėl įmonės duomenų saugumo ir galimo poveikio nukentėjusiems darbuotojams.
Drąsiame pareiškime, atsiųstame el. paštu Reuters, įsilaužėliai išdidžiai prisiėmė atsakomybę už išpuolį ir išleido šiurpinantį įspėjimą, kad tie, kurie išdrįs nepaisyti išpirkos reikalavimų, bus viešai paskelbti jų grupės svetainėje. Ankstesni „Microsoft“ tyrimai jau parodė pirštus į rusakalbių išpirkos reikalaujančių programų gaują ir užsiminė apie jų dalyvavimą šiame incidente. Šokiruojantis apreiškimas paaiškėjo praėjusią savaitę, kai kibernetinio saugumo ekspertai atskleidė nulinės dienos pažeidžiamumo išnaudojimą – pavojingą trūkumą – plačiai naudojamoje failų perdavimo sistemoje, vadinamoje MOVEit, kurią sukūrė „Progress Software“. Šis pažeidžiamumas buvo vartai kibernetiniams nusikaltėliams įsiskverbti ir išgauti slaptą informaciją iš daugelio pasaulinių kompanijų, kurios remiasi MOVEit Transfer.
Daugybė organizacijų tampa plataus poveikio aukomis
Šokiruojantis apreiškimas išaiškėjo pirmadienį, kai JK įsikūręs darbo užmokesčio apskaitos paslaugų teikėjas Zellis patvirtino, kad aštuoni jos klientai tapo kibernetinio incidento aukomis. Nors nukentėjusių organizacijų pavadinimai nebuvo atskleisti, „British Airways“ (BA) pripažino savo dalyvavimą keblioje situacijoje. Jungtinėje Karalystėje dirba 34 000 žmonių, todėl oro linijų bendrovės pažeidimas kelia didelį susirūpinimą.
Į chaosą taip pat įsipainiojo BBC ir „Boots“, žinomi gausiu 50 000 darbuotojų personalu. Nors transliuotojas išreiškė palengvėjimą, kad jo darbuotojų banko duomenys liko saugūs, buvo pažeisti įmonės identifikavimo ir nacionalinio draudimo numeriai. BA antrinė įmonė „Aer Lingus“ patvirtino, kad incidentas palietė ir esamus, ir buvusius personalo narius. Tačiau per šį nerimą keliantį įvykį nebuvo pažeista jokia finansinė ar banko informacija ar telefono numeriai.
„Progress Software“ produkto MOVEit Transfer nulinės dienos pažeidžiamumas padarė didelį poveikį daugeliui įmonių visame pasaulyje. Tačiau bendrovės pareigūnai pabrėžė, kad visa Zellis priklausanti programinė įranga lieka nepakitusi, ir nebuvo pranešta apie incidentus ar kompromisus, susijusius su jokiu kitu jos IT infrastruktūros aspektu.
Gilinimasis į atakos kilmę: grėsmių grupė su galimomis Rusijos sąsajomis
Naujausios kibernetinio saugumo įmonės „Maidant“ išvados atskleidė atakos ištakas, identifikuodami ją kaip „naujai sukurtą grėsmių grupę“, pavadintą UNC4857. Šį klasterį sudaro žinomos kibernetinių nusikaltėlių grupės, tokios kaip FIN11 , TA505 ir Clop , kurios užmezgė ryšius su Rusija. Tačiau išpuolio motyvas, nesvarbu, ar tai buvo politiniai ar finansiniai tikslai, lieka neaiškus. Nors FIN11 anksčiau veikė tik kaip nusikalstama organizacija, susijusi su duomenų išpirka, kyla klausimas, ar šie gerai žinomi nusikalstami tinklai yra už incidento, ar jame dalyvauja kibernetiniai samdiniai, turintys ideologinių motyvų.
Įdomu tai, kad MOVEit atakos paveiktų aukų ratas viršija tikėtinus taikinius. Naujosios Škotijos vyriausybė, mažai tikėtinas valstybės remiamo veikėjo taikinys, taip pat tapo auka. Ataskaitose nurodoma, kad ataka galėjo pažeisti apie 2500 MOVEit serverių, padidindama pažeidimo mastą ir poveikį. IT valdymo programinės įrangos kūrėjas „Ipswitch“ dar neatskleidė, kiek įmonių incidento metu naudojo jų programinę įrangą prieš įdiegdama taisymą.
Kas laukia aukos: pasekmės ir perspektyvos
Situacijai besiklostant, aukų organizacijos turi pasirengti galimiems prievartavimo bandymams, viešam pavogtų duomenų atskleidimui ir galimybei būti viešai sugėdinti grėsmės veikėjo. Tikėtina, kad kibernetiniai nusikaltėliai netrukus užmegs ryšius su savo aukomis, reikalaus turto prievartavimo ir sistemingai nusitaikys į jų sąraše esančius asmenis. Siekiant apsisaugoti nuo tolesnės žalos, visoms organizacijoms, neatsižvelgiant į tai, kada programinė įranga buvo pataisyta, rekomenduojama atlikti išsamią savo sistemų teismo ekspertizę, jei MOVEit žiniatinklio sąsaja buvo veikiama internetu.
Kibernetinio saugumo pažeidimo atskleidimas: BA, BBC ir „Boots“ atskleidžia kontaktinius ir banko duomenis ekrano kopijos
