Satura rādītājs
MOVEit Transfer programmatūras ievainojamības izmantošana atklāj sensitīvus Apvienotās Karalistes uzņēmumu datus un apdraud darbinieku drošību
Vairāki ievērojami Apvienotās Karalistes uzņēmumi, tostarp BBC, British Airways, Boots un Aer Lingus, ir kļuvuši par upuriem nozīmīgam kiberincidentam. Pārkāpums ir atklājis darbinieku personisko informāciju, tostarp sensitīvus datus, piemēram, bankas un kontaktinformāciju, ļaunprātīgiem hakeriem. Šis kiberdrošības pārkāpums tika attiecināts uz izspiedējvīrusu grupu, kas pazīstama kā Clop, kas īpaši vērsta pret MOVEit failu pārsūtīšanas programmatūras ievainojamību. Incidents radījis bažas par uzņēmuma datu drošību un iespējamo ietekmi uz ietekmētajiem darbiniekiem.
Drosmīgā paziņojumā, kas tika nosūtīts pa e-pastu Reuters, hakeri lepni uzņēmās atbildību par uzbrukumu, izsakot satriecošu brīdinājumu, ka tie, kas uzdrošinās neievērot viņu izpirkuma prasības, tiks atklāti viņu grupas tīmekļa vietnē. Iepriekšējā Microsoft veiktā izmeklēšana jau bija rādījusi ar pirkstiem uz krievvalodīgo izspiedējvīrusu grupu, norādot uz viņu līdzdalību šajā incidentā. Šokējošs atklājums atklājās pagājušajā nedēļā, kad kiberdrošības eksperti atklāja nulles dienas ievainojamības izmantošanu — bīstamu trūkumu — plaši izmantotajā failu pārsūtīšanas sistēmā, kas pazīstama kā MOVEit un ko izstrādājusi Progress Software. Šī ievainojamība bija vārteja kibernoziedzniekiem, lai iefiltrētos un iegūtu sensitīvu informāciju no daudziem globāliem uzņēmumiem, kas paļaujas uz MOVEit Transfer.
Neskaitāmas organizācijas kļūst par plašās ietekmes upuriem
Šokējošā atklāsme atklājās pirmdien, kad Apvienotajā Karalistē reģistrētais algu pakalpojumu sniedzējs Zellis apstiprināja, ka astoņi tā klienti ir kļuvuši par kiberincidenta upuriem. Lai gan cietušo organizāciju vārdi netika atklāti, British Airways (BA) atzina savu līdzdalību satraucošajā situācijā. Tā kā Apvienotajā Karalistē strādā 34 000 cilvēku, aviokompānijas saskarsme ar pārkāpumu ir ļoti satraucoša.
Haosā bija sapinušies arī BBC un Boots, kas pazīstami ar plašo 50 000 darbinieku darbinieku skaitu. Lai gan raidorganizācija pauda atvieglojumu, ka tās darbinieku bankas dati joprojām ir drošībā, uzņēmuma identifikācijas un valsts apdrošināšanas numuri tika apdraudēti. BA meitas uzņēmums Aer Lingus apstiprināja, ka incidents skāris gan esošos, gan bijušos darbiniekus. Tomēr šajā satraucošajā notikumā netika apdraudēta nekāda finanšu vai bankas informācija vai tālruņu numuri.
Nulles dienas ievainojamība Progress Software produktā MOVEit Transfer ir būtiski ietekmējusi daudzus uzņēmumus visā pasaulē. Tomēr uzņēmuma amatpersonas ir uzsvērušas, ka visa Zellis piederošā programmatūra paliek neskarta, un nav ziņots par incidentiem vai kompromisiem saistībā ar citiem tās IT infrastruktūras aspektiem.
Iedziļināties uzbrukuma izcelsmē: draudu kopa ar potenciālām Krievijas saitēm
Nesenie kiberdrošības firmas Maidant atklājumi atklāj uzbrukuma izcelsmi, identificējot to kā "jaunizveidotu draudu kopu" ar nosaukumu UNC4857. Šajā klasterī ir zināmas kibernoziedznieku grupas, piemēram, FIN11 , TA505 un Clop , kuras ir izveidojušas savienojumus ar Krieviju. Tomēr uzbrukuma motīvs, neatkarīgi no tā, vai to izraisīja politiski vai finansiāli mērķi, joprojām nav skaidrs. Lai gan FIN11 iepriekš darbojās tikai kā noziedzīga organizācija, kas ir iesaistīta datu izpirkšanā, tas rada jautājumu, vai aiz incidenta ir šie pazīstamie noziedzīgie tīkli, vai arī tajā ir iesaistīti kiberalgoņi ar ideoloģiskiem motīviem.
Interesanti, ka MOVEit uzbrukumā cietušo upuru loks pārsniedz paredzamos mērķus. Par upuri ir kļuvusi arī Jaunskotijas valdība, kas ir maz ticams valsts atbalstīta aktiera mērķis. Pārskati liecina, ka uzbrukumam bija potenciāls apdraudēt aptuveni 2500 MOVEit serverus, pastiprinot pārkāpuma mērogu un ietekmi. IT pārvaldības programmatūras izstrādātājam Ipswitch vēl nav jāatklāj to uzņēmumu skaits, kuri incidenta laikā izmantoja savu programmatūru pirms labojuma ieviešanas.
Kas sagaida upurus: sekas un perspektīvas
Situācijai attīstoties, upuru organizācijām ir jāsagatavojas iespējamiem izspiešanas mēģinājumiem, zagtu datu publiskai atklāšanai un iespējai, ka draudu izpildītājs tiks publiski nokaunināts. Visticamāk, kibernoziedznieki drīzumā sāks sazināties ar saviem upuriem, izvirzot prasības par izspiešanu un sistemātiski vēršoties pret viņu sarakstā iekļautajiem. Lai nodrošinātu aizsardzību pret turpmākiem bojājumiem, visām organizācijām neatkarīgi no programmatūras ielāpu veikšanas ir ieteicams veikt rūpīgu savu sistēmu kriminālistisko analīzi, ja MOVEit tīmekļa saskarne bija pakļauta internetam.
Kiberdrošības pārkāpuma atklāšana: BA, BBC un Boots atklāj kontaktinformāciju un bankas informāciju ekrānuzņēmumi
