Вядомую ІТ-кампанію ўзламалі. Магчыма, яна скарачае каманду і праз гэта таксама

На просьбу dev.by да ІТ-супольнасці расказаць пра такія кейсы адгукнуўся экс-супрацоўнік кампаніі «Софтэк».

Паводле яго слоў, увосень 2022 года хакеры стварылі цікет у Jira і дадалі ў яго ўсіх супрацоўнікаў — так тыя даведаліся пра ўзлом і патрабаванне выкупу. 

— Узламалі праз уразлівасць у Confluence. Паводле слоў СЕО, справай займалася ФБР, — расказаў экс-супрацоўнік. — Некалькі дзён сэрвісы кампаніі былі паралізаваныя. Але так як узлом адбыўся ў пятніцу ўвечары, на [бягучую] працу гэта моцна не паўплывала.

У паведамленні не было ніякіх назваў — толькі пошта, праз якую з узломшчыкамі трэба звязацца, і пара спасылак на ўзоры, што за даныя яны скралі.

Заказчыкам пра ўзлом паведаміла сама кампанія. Якія даныя і чые ўцяклі, нам не раскрывалі, але вядома, што сярод іх амаль усе буйныя кліенты. Які выкуп патрабавалі і як у выніку вырашылі пытанне, таксама не раскрывалі. Але рэпутацыю гэта сапсавала.

Праз гэты выпадак сышлі некаторыя заказчыкі і з’явіліся цяжкасці з прыцягненнем новых, павялічыліся выдаткі на бяспеку (новы софт і ліцэнзіі, найманне новых бяспечнікаў). Нароўні з выдаткамі на рэлакацыю супрацоўнікаў з РБ гэты інцыдэнт, паводле слоў кіраўніцтва, стаў адной з прычын скарачэння штату сёлета ўвесну.

Цяпер на рэсурсы кампаніі можна трапіць толькі праз новы VPN, усім на дэвайсы (асабістыя і карпаратыўныя) усталявалі софт, які ў рэальным часе адсочвае пагрозы і падазроную актыўнасць. Яго функцыянал шырэйшы, ніж у антывіруса, ён адсочвае ўсю актыўнасць, таму ў супрацоўнікаў ёсць да яго пытанні. Але запэўніваюць, што асабістай інфармацыі софт кампаніі не перадае.

Да ўліковых запісаў прывязалі Google Authenticator, тэлефон (цяпер абавязкова). Часцейшымі сталі змены пароляў.

«Софтэк» заснаваная ў 1997 годзе. Штаб-кватэра кампаніі знаходзіцца ў Х’юстане, штат Тэхас. У 2008 годзе ў Мінску быў адкрыты цэнтр распрацоўкі — «Софтэк Дывелапмент». Ад ліпеня 2009 года кампанія з’яўляецца рэзідэнтам ПВТ. Уваходзіла ў топ-50 кампаній паводле памеру штату.

Пасля 24.02 кампанія запусціла працэс рэлакацыі. Адным з варыянтаў для пераезду стала Літва. Паводле даных rekvizitai.vz.lt, за мінулы і гэты гады штат літоўскага офіса вырас ад 30 да 130+ супрацоўнікаў.

Сёлета ў сакавіку «Софтэк» абвясціла пра скарачэнне 60 супрацоўнікаў па ўсім свеце, у тым ліку ў Літве. Гэта частка «стратэгічнай перабудовы кампаніі», патлумачыла кіраўніцтва супрацоўнікам. Паводле даных dev.by, гэта каля 15% штату.

У красавіку стала вядома пра намер кампаніі сысці з Беларусі. Цяпер юрыдычная асоба ў Беларусі знаходзіцца ў ліквідацыі.

Трохі тэорыі пра ўзломы

Экс-супрацоўнік «Софтэк» не ведае, ці была гэта атака хакерскай групоўкі Sneaking Leprechaun, ці нейкай іншай — зламыснікі не падпісваліся.

У кампаніі адмовіліся каментаваць кейс, спаслаўшыся на канфідэнцыйнасць.

Мы спыталіся ў спецыяліста па шкодным софце, як бяспечнікі вылучаюць хакераў у асобныя групоўкі, што робяць кампаніі, даведаўшыся пра ўзлом, і як абараніцца.

Адкуль з’явілася назва хакерскай групоўкі? Яны што, падпісваюцца?

Часта сек’юрыці-арганізацыі самі прыдумляюць імя якой-небудзь атацы. Узломшчыкі не падпісваюцца, але пры даследаванні ўзломаў дзвюх розных арганізацый заўсёды можна зразумець, ці то атакоўца адзін, ці то розныя. Паводле выкарыстоўваных эксплойтаў, утыліт, malware-кода. Паводле тэхнік і тактык руху ў сетцы, спосабу ўзаемадзеяння з ахвярай, паводле выкарыстоўваных IP пры атацы і эксфільтрацыі даных арганізацыі. 

Мяркуючы з артыкула на habr.com, пра колькасць ахвяр і іх геаграфію bi.zone даведаліся, атрымаўшы доступ да кіраўнічага сервера зламыснікаў. Там яны і ўбачылі спіс заражаных сервераў.

Няўжо ўзламаныя кампаніі плацяць выкуп? А дзе гарантыі?
 
Гарантый ахвяры ніхто не дае. Усё — па дамоўленасці паміж ахвярай і атакоўцам.

Звычайна зламыснікі патрабуюць аплату ў крыптавалюце. Сумы розныя — залежаць ад «ацэначнага кошту» скрадзеных даных і патэнцыйных страт. Часам ахвяры сапраўды плацяць. Даўно квітнее бізнэс з выкарыстаннем шыфравальшчыкаў: шыфруюць даныя, да якіх могуць дацягнуцца, і патрабуюць выкуп за магчымасць расшыфраваць.

Звычайна раяць не плаціць. Але ахвяра сама вырашае, наколькі крытычныя скрадзеныя даныя і якую шкоду прычыніць іх зліў. Шмат што залежыць ад таго, каго тычацца скрадзеныя даныя, — самой арганізацыі ці яе кліентаў.

Што яшчэ робяць пацярпелыя

Звычайна пацярпелыя звяртаюцца ў сек’юрыці-кампанію, чыімі паслугамі яны карыстаюцца, за Incident response. Альбо самастойна шукаюць тых, хто зможа правесці расследаванне. Буйныя кампаніі маюць сваіх спецыялістаў ІБ, але таксама могуць звяртацца ў кампаніі, якія аказваюць паслугі абароны сеткі. 

Але ў кожным выпадку кампанія не паведамляе IR-камандзе, як яна ўрэгулюе ўцечку даных са сваімі заказчыкамі.

Як абараніцца

Выключыць магчымасць узлому немагчыма, але можна зрабіць так, каб кошт узлому быў вышэйшым за атрыманую выгаду. Для гэтага патрабуецца кампетэнтная праца арганізацыі ў галіне забеспячэння бяспекі сеткавай інфраструктуры.

Абнаўленне сэрвісаў, схільных да атак, кампетэнтная абарона сервераў і працоўных станцыяй, падзел сетак і правоў доступу ў карыстальнікаў. У гэтай тэме шмат публікацый.

Буйныя арганізацыі могуць дазволіць спецыялізаваны софт, штат спецыялістаў бяспекі або сэрвісы накшталт MDR — перадачы аналізу падзей у сеткавай інфраструктуры іншай арганізацыі.

Забеспячэнне ІБ патрабуе грошай. Таму ў нашых рэаліях узламаць банк куды складаней, ніж які-небудзь дзяржаўны рэсурс.

dev.by, як і іншым сумленным медыя, сёння вельмі складана: рэдакцыя працуе па-за межамі краіны, а нашыя рэкламныя даходы скараціліся ў некалькі разоў. Але мы даем рады — з вашай дапамогай. Гэта вы дзеліцеся з намі інфанагодамі, думкамі, досведам, часам і ўвагай. А 210 чытачоў падтрымліваюць нас данатамі.

У 2023 годзе мы хочам сабраць 1000 чытачоў-падпісчыкаў. 

Дапамагчы нам можна праз Patreon. 

З Беларусі — праз Donorbox.

І яшчэ крыптой, тут гаманцы.

Дзякуй, што прачыталі гэтае паведамленне.