В продължение на дълги години
две от най-важните клиширани правила по отношение на киберсигурността бе да не се отварят подозрителни файлове от непознати имейли и да не се въвеждат лични данни в странни сайтове.
Това обаче отдавна не е достатъчно, а злонамерени хакери намират нови и все по-сложни начини да причиняват щети за милиони.
Така в петък бе извършена една от най-мащабните хакерски атаки, засегнала стотици фирми в поне 17 различни държави.
Сред тях са железопътна компания, както и поне 500 магазина от най-голямата верига шведски супермаркети Coop.
Тепърва ще се изяснява мащаба
на щетите и обема на откраднатата информация, като извършителят е банда, която е част от големия руски хакерски синдикат REvil.
В неделя те публикуваха пост в своя блог, че искат да им бъдат платени биткойни на стойност 70 милиона долара, за да върнат достъпа до присвоените данни.
Обект на тяхната атака се оказва американската компания Kaseya, която създава и продава на други компании софтуер за управление на бизнес мрежи и устройства.
От своя страна тези фирми използват въпросния софтуер, за да предоставят услуги на бизнеси като Coop и да управляват и поддържат тяхната IT инфраструктура.
В случая хакерите от REvil
се възползват от слабост в автоматичната система за обновяване на софтуера, за да пробият защитата му и да го заразят в вирус, който веднъж попаднал в тази среда, плъзва надолу по веригата в абсолютно всички свързани мрежи.
Според изпълнителния директор на Kaseya атаката е засегнала едва 50-60 от техните 37 000 клиенти.
Почти всичките от тях обаче управляват мрежите на хиляди други фирми от всякакъв мащаб в държави на три континента – от Coop с над 800 магазина в Швеция, през верига аптеки и бензиностанции до различни други бизнеси като адвокатски кантори, зъболекарски кабинети, библиотеки и др.
Мащабът е толкова голям,
че от ФБР заявиха, че просто няма да имат възможност да откликнат на всяка една жертва поотделно.
Това практически представлява най-голямата подобна атака, комбинация от използването на два вида хакерски подхода.
С рансъмуер злонамерен софтуер, който изтръгва финансов откуп от жертвите си, като заплашва да публикува, изтрие или блокира достъпа до важни лични данни, и т.нар. supply chain атака за внедряване на вируса чрез заразяването на програма като тази на Kaseya.
„Обикновено рансъмуер актьорите имат нужда от няколко слабости на различни нива или пък да се доберат до администраторските пароли“, обяснява Шон Галахър, експерт по киберсигурност от британската компания Sophos. „Притеснителното в случая е, че REvil използват на всеки един етап доверени програми, което е една стъпка над това, което представляват типичните рансъмуер атаки.“
Вероятно REvil са свързани
по някакъв начин и с DarkSide – руската хакерска група, за която се предполага, че има отговорност за блокирането на един от най-големите тръбопроводи в САЩ, пренасящ над 2,5 милиона барела гориво дневно и отговорен за захранването на почти цялото Източно крайбрежие на Щатите.
Случаят с Kaseya за пореден път доказва доколко уязвима може да бъде всякакъв вид дигитална инфраструктура и колко наложително е вземането на мерки в тази посока.
Не е задължително всички атаки
от последната година да са дирижирани от Кремъл. Факт е обаче, че групи като REvil и DarkSide действат от територията на Русия и за момента все още няма известни атаки срещу руски компании или институции, нито пък случаи на разбити хакерски групи там.
Това навежда на предположението, че те най-малкото получават свобода на действие, а в някои случаи могат дори да си сътрудничат пряко със службите за сигурност, ако дейността им попада в по-широкия контекст на хибридната война срещу Запада.