Одна из крупнейших компаний Украины — SoftServe — подверглась хакерской атаке, в результате которой произошла утечка разработок для крупных клиентов, а также личных данных сотрудников.

Редактор AIN.UA попросила Егора Папышева — консультанта по кибербезопасности — прокомментировать, как такое могло произойти с IT-компанией, в штате которой работает немало опытных cybersecurity-специалистов, кому это могло быть нужно и как хакеры получили доступ к столь чувствительным данным.

Коротко – хронология событий

SoftServe подверглась хакерской атаке в ночь на 1 сентября. Тогда старший вице-президент компании по ІТ Адриян Палкевич в комментарии AIN.UA заявил, что атаку вовремя обнаружили и отбили. По его словам, наиболее существенным последствием атаки стала временная потеря работоспособности некоторых внутренних сервисов компании, и что клиентские данные не пострадали. 

Однако 3 сентября российский хакер под ником freedom f0x опубликовал репозитории разработок для IBM, Toyota, Panasonic, Cisco и других компаний, в коде которых обнаружили строчку, указывающую на авторство SoftServe.

В компании заявили, что продолжают расследование инцидента. А 16 сентября freedom f0x опубликовал новый слив. На этот раз, помимо репозиториев с кодом проектов, в нем обнаружилась база скан-копий внутренних и заграничных паспортов около 200 человек – вероятно, сотрудников SoftServe.

Компания признала утечку. В комментарии редактору AIN.UA, представители SoftServe акцентировали, что этот слив – результат все той же атаки от 1 сентября, и судя по всему, хакеры собираются потребовать выкуп.

Кто, зачем и как взломал SoftServe

Егор Папышев, консультант по кибербезопасности

Я считаю, что есть две наиболее вероятные версии ответа на вопрос, кто и зачем мог взломать SoftServe. Они в равной степени имеют право на жизнь. Это реализация заказа конкурирующей компании, при котором колоссальный удар по репутации топит упомянутую компанию. Либо действия мотивированной группы киберкриминала, задача которой – получение материального вознаграждения путем шантажа.

В пользу второй версии говорит тот факт, что хакеры сливают полученные данные порциями, – выглядит, будто на фоне происходит некий торг с представителями самой компании. И в той и в другой версии есть место для инсайдера, который мог помочь хакерам найти удачный вектор для реализации кибератаки.

В штате сотрудников SoftServe действительно есть высококвалифицированные специалисты по кибербезопасности. Но эти люди, насколько мне известно, в первую очередь задействованы в работе над внешними проектами. Я не знаю, кто отвечал за безопасность IT-инфраструктуры, но исходя из последствий атаки, в защите были допущены пробелы. Думаю, сотрудникам было об этом известно, и кибератака была чем-то ожидаемым, учитывая расхождение с принятыми в индустрии кибербезопасности подходы к защите корпоративных информационных активов.

Со стороны тяжело судить о сложности атаки и том векторе (или векторах), который был использован для ее реализации. Судя по всему, сама атака была комплексной.

  • Во-первых, она обстоятельно готовилась, в том числе было подобрано удачное для активной фазы время.
  • Во-вторых, украли значительный массив разношерстных данных: разработки компании для разных клиентов, персональные данные самих сотрудников – вряд ли все это хранилось в одном месте.
  • В-третьих, кражу информации прикрыли работой шифровальщика, выведя из строя ряд сервисов, таких как корпоративная почта, например.

Атака могла длиться от нескольких часов до недель. Практика подобных кейсов, связанных с активностью APT-групп (Advanced Persistent Threat, постоянные угрозы повышенной сложности – ред.) показывает, что хакеры могут присутствовать в сети компании до нескольких месяцев, подготавливая результирующую фазу атаки. Ответы должно дать соответствующее расследование.

Если в самом начале можно было говорить об информационном вбросе против SoftServe, то сегодня все больше подтверждений находит версия состоявшейся успешной кибератаки.

Даже поверхностный анализ опубликованных данных, и найденные в этих данных артефакты, указывают на их принадлежность к служебной информации компании, ее разработкам и другой чувствительной информации, которая не могла присутствовать в публичном доступе.