Вядомую ІТ-кампанію ўзламалі. Магчыма, яна скарачае каманду і праз гэта таксама
Паводле слоў крыніцы, гісторыя паўплывала на фінансавае становішча кампаніі.
Паводле слоў крыніцы, гісторыя паўплывала на фінансавае становішча кампаніі.
На просьбу dev.by да ІТ-супольнасці расказаць пра такія кейсы адгукнуўся экс-супрацоўнік кампаніі «Софтэк».
Паводле яго слоў, увосень 2022 года хакеры стварылі цікет у Jira і дадалі ў яго ўсіх супрацоўнікаў — так тыя даведаліся пра ўзлом і патрабаванне выкупу.
— Узламалі праз уразлівасць у Confluence. Паводле слоў СЕО, справай займалася ФБР, — расказаў экс-супрацоўнік. — Некалькі дзён сэрвісы кампаніі былі паралізаваныя. Але так як узлом адбыўся ў пятніцу ўвечары, на [бягучую] працу гэта моцна не паўплывала.
У паведамленні не было ніякіх назваў — толькі пошта, праз якую з узломшчыкамі трэба звязацца, і пара спасылак на ўзоры, што за даныя яны скралі.
Заказчыкам пра ўзлом паведаміла сама кампанія. Якія даныя і чые ўцяклі, нам не раскрывалі, але вядома, што сярод іх амаль усе буйныя кліенты. Які выкуп патрабавалі і як у выніку вырашылі пытанне, таксама не раскрывалі. Але рэпутацыю гэта сапсавала.
Праз гэты выпадак сышлі некаторыя заказчыкі і з’явіліся цяжкасці з прыцягненнем новых, павялічыліся выдаткі на бяспеку (новы софт і ліцэнзіі, найманне новых бяспечнікаў). Нароўні з выдаткамі на рэлакацыю супрацоўнікаў з РБ гэты інцыдэнт, паводле слоў кіраўніцтва, стаў адной з прычын скарачэння штату сёлета ўвесну.
Цяпер на рэсурсы кампаніі можна трапіць толькі праз новы VPN, усім на дэвайсы (асабістыя і карпаратыўныя) усталявалі софт, які ў рэальным часе адсочвае пагрозы і падазроную актыўнасць. Яго функцыянал шырэйшы, ніж у антывіруса, ён адсочвае ўсю актыўнасць, таму ў супрацоўнікаў ёсць да яго пытанні. Але запэўніваюць, што асабістай інфармацыі софт кампаніі не перадае.
Да ўліковых запісаў прывязалі Google Authenticator, тэлефон (цяпер абавязкова). Часцейшымі сталі змены пароляў.
«Софтэк» заснаваная ў 1997 годзе. Штаб-кватэра кампаніі знаходзіцца ў Х’юстане, штат Тэхас. У 2008 годзе ў Мінску быў адкрыты цэнтр распрацоўкі — «Софтэк Дывелапмент». Ад ліпеня 2009 года кампанія з’яўляецца рэзідэнтам ПВТ. Уваходзіла ў топ-50 кампаній паводле памеру штату.
Пасля 24.02 кампанія запусціла працэс рэлакацыі. Адным з варыянтаў для пераезду стала Літва. Паводле даных rekvizitai.vz.lt, за мінулы і гэты гады штат літоўскага офіса вырас ад 30 да 130+ супрацоўнікаў.
Сёлета ў сакавіку «Софтэк» абвясціла пра скарачэнне 60 супрацоўнікаў па ўсім свеце, у тым ліку ў Літве. Гэта частка «стратэгічнай перабудовы кампаніі», патлумачыла кіраўніцтва супрацоўнікам. Паводле даных dev.by, гэта каля 15% штату.
У красавіку стала вядома пра намер кампаніі сысці з Беларусі. Цяпер юрыдычная асоба ў Беларусі знаходзіцца ў ліквідацыі.
Экс-супрацоўнік «Софтэк» не ведае, ці была гэта атака хакерскай групоўкі Sneaking Leprechaun, ці нейкай іншай — зламыснікі не падпісваліся.
У кампаніі адмовіліся каментаваць кейс, спаслаўшыся на канфідэнцыйнасць.
Мы спыталіся ў спецыяліста па шкодным софце, як бяспечнікі вылучаюць хакераў у асобныя групоўкі, што робяць кампаніі, даведаўшыся пра ўзлом, і як абараніцца.
Часта сек’юрыці-арганізацыі самі прыдумляюць імя якой-небудзь атацы. Узломшчыкі не падпісваюцца, але пры даследаванні ўзломаў дзвюх розных арганізацый заўсёды можна зразумець, ці то атакоўца адзін, ці то розныя. Паводле выкарыстоўваных эксплойтаў, утыліт, malware-кода. Паводле тэхнік і тактык руху ў сетцы, спосабу ўзаемадзеяння з ахвярай, паводле выкарыстоўваных IP пры атацы і эксфільтрацыі даных арганізацыі.
Мяркуючы з артыкула на habr.com, пра колькасць ахвяр і іх геаграфію bi.zone даведаліся, атрымаўшы доступ да кіраўнічага сервера зламыснікаў. Там яны і ўбачылі спіс заражаных сервераў.
Звычайна зламыснікі патрабуюць аплату ў крыптавалюце. Сумы розныя — залежаць ад «ацэначнага кошту» скрадзеных даных і патэнцыйных страт. Часам ахвяры сапраўды плацяць. Даўно квітнее бізнэс з выкарыстаннем шыфравальшчыкаў: шыфруюць даныя, да якіх могуць дацягнуцца, і патрабуюць выкуп за магчымасць расшыфраваць.
Звычайна раяць не плаціць. Але ахвяра сама вырашае, наколькі крытычныя скрадзеныя даныя і якую шкоду прычыніць іх зліў. Шмат што залежыць ад таго, каго тычацца скрадзеныя даныя, — самой арганізацыі ці яе кліентаў.
Звычайна пацярпелыя звяртаюцца ў сек’юрыці-кампанію, чыімі паслугамі яны карыстаюцца, за Incident response. Альбо самастойна шукаюць тых, хто зможа правесці расследаванне. Буйныя кампаніі маюць сваіх спецыялістаў ІБ, але таксама могуць звяртацца ў кампаніі, якія аказваюць паслугі абароны сеткі.
Але ў кожным выпадку кампанія не паведамляе IR-камандзе, як яна ўрэгулюе ўцечку даных са сваімі заказчыкамі.
Выключыць магчымасць узлому немагчыма, але можна зрабіць так, каб кошт узлому быў вышэйшым за атрыманую выгаду. Для гэтага патрабуецца кампетэнтная праца арганізацыі ў галіне забеспячэння бяспекі сеткавай інфраструктуры.
Абнаўленне сэрвісаў, схільных да атак, кампетэнтная абарона сервераў і працоўных станцыяй, падзел сетак і правоў доступу ў карыстальнікаў. У гэтай тэме шмат публікацый.
Буйныя арганізацыі могуць дазволіць спецыялізаваны софт, штат спецыялістаў бяспекі або сэрвісы накшталт MDR — перадачы аналізу падзей у сеткавай інфраструктуры іншай арганізацыі.
Забеспячэнне ІБ патрабуе грошай. Таму ў нашых рэаліях узламаць банк куды складаней, ніж які-небудзь дзяржаўны рэсурс.
dev.by, як і іншым сумленным медыя, сёння вельмі складана: рэдакцыя працуе па-за межамі краіны, а нашыя рэкламныя даходы скараціліся ў некалькі разоў. Але мы даем рады — з вашай дапамогай. Гэта вы дзеліцеся з намі інфанагодамі, думкамі, досведам, часам і ўвагай. А 210 чытачоў падтрымліваюць нас данатамі.
У 2023 годзе мы хочам сабраць 1000 чытачоў-падпісчыкаў.
Дапамагчы нам можна праз Patreon.
І яшчэ крыптой, тут гаманцы.
Дзякуй, што прачыталі гэтае паведамленне.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
надо было выбирать бренды ОАЦ и биклауд с битриксом
Слишком жирно
вот это верное предложение, с таким гуаном ни одна хакерская группировка связываться не будет, себе же дороже
Каментарый скрыты за парушэнне правілаў каментавання.
[censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement]
надо таблетки ,что б тебе прописали более сильнодействующие .
Так джира / конфлуенс всегда были Овер-дырявыми и вообще нечего свои джира логин страницы в интернет выставлять было. Для доступа к корп ресурсам придумали впн не просто так.
7 мес назад логи Пейджа джиры был доступен: https://sur.ly/i/jira.softeq.com/
Штаб квартира кучерявых бла-бла Техас: 11 продавцов и 7 разрабов – это типичная шарашка, не представляющая никакой ценности ни для кого кроме бедолаг, которые работают сверхурочно ради блага кучерявых господ.
с каждым днем все радостнее жить. вот [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement], и тогда заживем
Карыстальнік адрэдагаваў каментарый 30 мая 2023, 21:06
странно, девбай зацензорил цитату из фильма про василия ивановича чапаева о том, когда наступит хорошая жизнь
так он же утонул
я слышал в еду сыплют и потом люди внезапно спать хотят
когда плавают или едут например куда-то то есть в. нужное время
мне как-то тоже сыпнули коллеги твои
затрымалі дырэктара маркетынгавага агенцтва Gusarov Андрэя Гусарава
а чем он в ИТ известен?
а ты чем известен кроме как тут сидеть [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] писать.
Для полубогов давно пора делать "Skin in the Game".
Стейкнул премию в вестинг, через год получишь, если не взломают.
Или в Bug Bounty critical vulnerability не найдут.
Возможно и бизнес KPI надо до уровня земли спускать.
Карыстальнік адрэдагаваў каментарый 31 мая 2023, 14:57
Издержки стремительного развития информационных технологий. Чем больше программного обеспечения используется, тем выше риск взлома. Интересна судьба безопасников компании. Уволили или взяли дополнительных?
ty budesh smejatsia, no v tom IT otdele im dazhe povysili zarplatu)))
Повысили :)
А если я, например, не покажу свой ВНЖ, не разрешу сканировать? Он же не нужен для въезда в Беларусь — у меня есть паспорт.
— У пограничников есть права истребовать с лиц, пересекающих государственную границу, дополнительные документы, которые имеются для пересечения государственной границы. Это могут быть и права, и временный вид на жительство. И если же будет интерес к человеку, который пересекает границу, увидеть [его] ВНЖ, и мы знаем, что он у него есть, — значит, будут либо сотрудники РОВД вызваны, либо дополнительные мероприятия на выявление — личный досмотр и тому подобное. То есть смотрите сами. Вы же не на рынке, правильно? На государственной границе, где проводится ряд мероприятий в отношении лиц.
Документами Госпогранкомитета прописано, что пограничники могут истребовать дополнительные документы. А за отказ от действия законного представителя есть ответственность.
доставят до РОВД а там уже [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] будешь кричать и руками махать
Мне вообще тут кажется всё просто. [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] очередной указа в котором обязал всех граждан в добравольно принудительном порядке предоставить ВНЖ и прочие документы других стран. Видно очередь желающих не выстраилась вот они и начали таким методом делать. Теперь всё законно в стране не до законов.
а есть идеи для чего им? Неужели будут считать родственников того кто получил ВНЖ неблагонадежными и их увольнять?
Давить через родственников будут.
тяжелая ситуация, непонятно кто слил на девбай. Руководсвту терпения
admitad следующий?
тоже джиру с торентов скачали?
а кейген чей? хотя наверное на сервере дату перевести нужно
тогда заодно и ссл работать перестанет