Самая большая IT-компания Украины стала жертвой кибератаки. Как такое могло произойти и пострадали ли данные клиентов?
Одна из крупнейших украинских компаний SoftServe в ночь с 31 августа на 1 сентября претерпела массированную кибератаку. Позже в сеть попала информация о ее коммерческих проектах и личные данные ее сотрудников. В SoftServe уверяют: к данным клиентов хакеры доступ не получили. А специалисты по кибербезопасности пытаются объяснить, как самая большая IТ—компания Украины оказалась незащищенной.
ОБНОВЛЕНО (22:05, 20 сентября): В новость добавлена позиция компании SoftServe.
Основная деятельность SoftServe — разработка сервисного программного обеспечения, прежде всего для финансовой сферы и электронной коммерции. Компания работает с 1996 года, ее главные офисы расположены во Львове и Остине (штат Техас, США).
Информация о кибератаке на SoftServe появилась 1 сентября. Хакеры вроде бы получили доступ к инфраструктуре компании; часть сервисов SoftServe был вынужден отключить, чтобы деятельность компании не пострадала полностью.
В тот же день старший вице-президент SoftServe по вопросам IT Адриан Павликевич подтвердил факт кибератаки, но заверил, что к значительным последствиям она не привела: «Из наиболее существенных последствий атаки — временная утрата трудоспособности части почтовой системы и остановка части вспомогательных тестовых сред».
Через два дня на одном из Telegram-каналов, которые выкладывают слитые данные, были обнародованы архивы с программным кодом SoftServe — на это указывали строки кода в отдельных файлах. Как отмечает AIN.UA, канал, где появились слитые данные, ведет хакер из Российской Федерации. В нем более 15 тысяч подписчиков.
Еще одна волна слитых файлов на том же канале появилась 16 сентября. В архивах содержалась информация о продуктах SoftServe — финансово-техническом проекте Digital Banking, антивирусе Cylance и внутренней CRM-системе. Еще один архив содержал скан-копии документов сотрудников компании, фамилии которых начинались на буквы A-D. Среди них были и иностранцы.
На оба слива данных SoftServe отреагировал примерно одинаково: заявил, что они стали следствием одной и той же кибератаки от 1 сентября. «Это распространенная тактика в подобных случаях, цель которой — запугать, чтобы требовать выкуп», — объяснили свою позицию SoftServe в комментарии AIN.UA.
Была ли среди слитых в сеть данных информация о клиентах — точно пока неизвестно. Интернет-ресурс ebanoe.it проанализировал слитые данные и утверждает, что ситуация с кибератакой на SoftServe гораздо серьезнее, чем об этом заявляет компания. Среди прочего, злоумышленники могли получить доступ к серверам таких компаний, как IBM, Microsoft, Panasonic, Deutsche Bank и т.д. — все они пользовались сервисами SoftServe.
Позже ebanoe.it заявил, что на сайт осуществили DDoS-атаку, и обвинил в этом SoftServe. Компания же, в свою очередь, опровергла эти обвинения и заявила об информационной атаке против себя.
ОБНОВЛЕНО: В SoftServe позже обнародовали официальную позицию о кибератаке 1 сентября. Там отметили, что все ключевые корпоративные системы компании не пострадали, а для расследования обстоятельств инцидента привлекли одного из ведущих мировых экспертов по кибербезопасности.
«Безопасность наших клиентов и сотрудников остается нашим приоритетом. Мы понимаем, какими могут быть последствия атаки для наших нынешних и бывших сотрудников и клиентов, и активно общаемся с ними. Мы обеспечиваем и продолжим обеспечивать каждого, кто пострадал из-за атаки технической, юридической, финансовой и другой помощью», — говорится в заявлении SoftServe, которое компания предоставила hromadske.
Кибератаку, скорее всего, совершили из-за уязвимости в программе-кастомизаторе рабочего стола для Windows Rainmeter, передает Bleeping Computer. Во время кибератаки программа подгрузила зараженный файл, которым пользуется Rainmeter для настроек, чем дала злоумышленникам доступ к компьютерам. В SoftServe отметили, что «в настоящее время антивирусы почти не определяют такую технологию кибератаки».
Специалист по кибербезопасности Егор Папишев считает, что кибератаку на SoftServe могли осуществить или по заказу фирмы-конкурента (чтобы нанести репутационный удар), или же по инициативе группы киберкриминала для материальной выгоды.
«Судя по последствиям атаки, в защите были допущены пробелы. Думаю, сотрудникам было об этом известно, и кибератака была чем-то ожидаемым, учитывая расхождения с принятыми в индустрии кибербезопасности подходами к защите корпоративных информационных активов», — добавляет он.
Кибераналитик Сергей Харюк отмечает другой аспект ситуации: сотрудники SoftServe (как нынешние, так и бывшие), чьи личные данные оказались в открытом доступе, вряд ли смогут защитить свои права. «Когда у нас в стране вытекают персональные данные граждан, никто на это не реагирует. А было бы неплохо, потому что сотрудникам по крайней мере не мешало бы изменить свои паспорта, в некоторых есть копии виз», — объясняет он.
- Поделиться: