Хто, як і навіщо міг зламати найбільшу українську IT-компанію SoftServe – думка

Одна з найбільших компаній України – SoftServe – зазнала хакерської атаки, в результаті якої стався витік розробок для великих клієнтів, а також особистих даних співробітників.

Редактор попросила Єгора Папишева – консультанта з кібербезпеки – прокоментувати, як таке могло статися з IT-компанією, в штаті якої працює чимало досвідчених cybersecurity-фахівців, кому це могло бути потрібно і як хакери отримали доступ до настільки чутливих даних.

Коротко – хронологія подій

SoftServe зазнала хакерської атаки в ніч на 1 вересня. Тоді старший віце-президент компанії по ІТ Адріян Палкевич заявив, що атаку вчасно виявили і відбили. За його словами, найбільш істотним наслідком атаки стала тимчасова втрата працездатності деяких внутрішніх сервісів компанії, і що клієнтські дані не постраждали.

Проте 3 вересня російський хакер під ніком freedom f0x опублікував репозиторії розробок для IBM, Toyota, Panasonic, Cisco і інших компаній, в коді яких виявили рядок, що вказує на авторство SoftServe.

У компанії заявили, що продовжують розслідування інциденту. А 16 вересня freedom f0x опублікував новий злив. На цей раз, крім репозиторіїв з кодом проектів, в ньому виявилася база скан-копій внутрішніх і закордонних паспортів близько 200 осіб – ймовірно, співробітників SoftServe.

Компанія визнала витік. Представники SoftServe акцентували, що цей злив – результат все тієї ж атаки від 1 вересня, і судячи з усього, хакери збираються вимагати викуп.

Хто, навіщо і як зламав SoftServe

Єгор Папишев, консультант з кібербезпеки

Я вважаю, що є дві найбільш вірогідні версії відповіді на питання, хто і навіщо міг зламати SoftServe. Вони в рівній мірі мають право на життя. Це реалізація замовлення конкуруючої компанії, при якому колосальний удар по репутації топить згадану компанію. Або дії мотивованої групи кіберкриміналу, завдання якої – отримання матеріальної винагороди шляхом шантажу.

На користь другої версії говорить той факт, що хакери зливають отримані дані порціями, – виглядає, ніби на тлі відбувається якийсь торг з представниками самої компанії. І в тій, і в іншій версії є місце для інсайдера, який міг допомогти хакерам знайти вдалий вектор для реалізації кібератаки.

У штаті співробітників SoftServe дійсно є висококваліфіковані фахівці з кібербезпеки. Але ці люди, наскільки мені відомо, в першу чергу задіяні в роботі над зовнішніми проектами. Я не знаю, хто відповідав за безпеку IT-інфраструктури, але за словами самих працівників, ця безпека була побудована з рук геть погано. І про це неодноразово доповідали керівництву.

Співробітники прямо говорять про те, що успішна кібератака виявилася цілком очікуваною, мало не закономірною історією, з огляду на далекі від best practices підходи до побудови захищених систем.

Зі сторони важко судити про складність атаки і той вектор (або вектори), який був використаний для її реалізації. Судячи з усього, сама атака була комплексною.

  • По-перше, вона докладно готувалася, в тому числі був підібраний вдалий для активної фази час.
  • По-друге, вкрали значний масив різношерстих даних: розробки компанії для різних клієнтів, персональні дані самих співробітників – навряд чи все це зберігалося в одному місці.
  • По-третє, крадіжку інформації прикрили роботою шифрувальника, вивівши з ладу ряд сервісів, таких як корпоративна пошта, наприклад.

Атака могла тривати від кількох годин до тижнів. Практика подібних кейсів, пов’язаних з активністю APT-груп (Advanced Persistent Threat, постійні погрози підвищеної складності – ред.) показує, що хакери можуть бути присутніми в мережі компанії до декількох місяців, готуючи результуючу фазу атаки. Відповіді повинно дати відповідне розслідування.

Якщо на самому початку можна було говорити про інформаційні вкидання проти SoftServe, то сьогодні все більше підтверджень знаходить версія успішної кібератаки, що відбулася.

Навіть поверхневий аналіз опублікованих даних, і знайдені в цих даних артефакти, вказують на їх приналежність до службової інформації компанії, її розробок та іншої чутливої ​​інформації, яка не могла бути присутньою в публічному доступі.

banda.media

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ