Одна из крупнейших компаний Украины — SoftServe — подверглась хакерской атаке, в результате которой произошла утечка разработок для крупных клиентов, а также личных данных сотрудников.
Редактор AIN.UA попросила Егора Папышева — консультанта по кибербезопасности — прокомментировать, как такое могло произойти с IT-компанией, в штате которой работает немало опытных cybersecurity-специалистов, кому это могло быть нужно и как хакеры получили доступ к столь чувствительным данным.
Коротко – хронология событий
SoftServe подверглась хакерской атаке в ночь на 1 сентября. Тогда старший вице-президент компании по ІТ Адриян Палкевич в комментарии AIN.UA заявил, что атаку вовремя обнаружили и отбили. По его словам, наиболее существенным последствием атаки стала временная потеря работоспособности некоторых внутренних сервисов компании, и что клиентские данные не пострадали.
Однако 3 сентября российский хакер под ником freedom f0x опубликовал репозитории разработок для IBM, Toyota, Panasonic, Cisco и других компаний, в коде которых обнаружили строчку, указывающую на авторство SoftServe.
В компании заявили, что продолжают расследование инцидента. А 16 сентября freedom f0x опубликовал новый слив. На этот раз, помимо репозиториев с кодом проектов, в нем обнаружилась база скан-копий внутренних и заграничных паспортов около 200 человек – вероятно, сотрудников SoftServe.
Компания признала утечку. В комментарии редактору AIN.UA, представители SoftServe акцентировали, что этот слив – результат все той же атаки от 1 сентября, и судя по всему, хакеры собираются потребовать выкуп.
Кто, зачем и как взломал SoftServe
Егор Папышев, консультант по кибербезопасности
Я считаю, что есть две наиболее вероятные версии ответа на вопрос, кто и зачем мог взломать SoftServe. Они в равной степени имеют право на жизнь. Это реализация заказа конкурирующей компании, при котором колоссальный удар по репутации топит упомянутую компанию. Либо действия мотивированной группы киберкриминала, задача которой – получение материального вознаграждения путем шантажа.
В пользу второй версии говорит тот факт, что хакеры сливают полученные данные порциями, – выглядит, будто на фоне происходит некий торг с представителями самой компании. И в той и в другой версии есть место для инсайдера, который мог помочь хакерам найти удачный вектор для реализации кибератаки.
В штате сотрудников SoftServe действительно есть высококвалифицированные специалисты по кибербезопасности. Но эти люди, насколько мне известно, в первую очередь задействованы в работе над внешними проектами. Я не знаю, кто отвечал за безопасность IT-инфраструктуры, но исходя из последствий атаки, в защите были допущены пробелы. Думаю, сотрудникам было об этом известно, и кибератака была чем-то ожидаемым, учитывая расхождение с принятыми в индустрии кибербезопасности подходы к защите корпоративных информационных активов.
Со стороны тяжело судить о сложности атаки и том векторе (или векторах), который был использован для ее реализации. Судя по всему, сама атака была комплексной.
- Во-первых, она обстоятельно готовилась, в том числе было подобрано удачное для активной фазы время.
- Во-вторых, украли значительный массив разношерстных данных: разработки компании для разных клиентов, персональные данные самих сотрудников – вряд ли все это хранилось в одном месте.
- В-третьих, кражу информации прикрыли работой шифровальщика, выведя из строя ряд сервисов, таких как корпоративная почта, например.
Атака могла длиться от нескольких часов до недель. Практика подобных кейсов, связанных с активностью APT-групп (Advanced Persistent Threat, постоянные угрозы повышенной сложности – ред.) показывает, что хакеры могут присутствовать в сети компании до нескольких месяцев, подготавливая результирующую фазу атаки. Ответы должно дать соответствующее расследование.
Если в самом начале можно было говорить об информационном вбросе против SoftServe, то сегодня все больше подтверждений находит версия состоявшейся успешной кибератаки.
Даже поверхностный анализ опубликованных данных, и найденные в этих данных артефакты, указывают на их принадлежность к служебной информации компании, ее разработкам и другой чувствительной информации, которая не могла присутствовать в публичном доступе.