Фото:

EPA / SASCHA STEINBACH

Одна из крупнейших украинских компаний SoftServe в ночь с 31 августа на 1 сентября претерпела массированную кибератаку. Позже в сеть попала информация о ее коммерческих проектах и личные данные ее сотрудников. В SoftServe уверяют: к данным клиентов хакеры доступ не получили. А специалисты по кибербезопасности пытаются объяснить, как самая большая IТ-компания Украины оказалась незащищенной.

ОБНОВЛЕНО (22:05, 20 сентября): В новость добавлена позиция компании SoftServe.

Основная деятельность SoftServe — разработка сервисного программного обеспечения, прежде всего для финансовой сферы и электронной коммерции. Компания работает с 1996 года, ее главные офисы расположены во Львове и Остине (штат Техас, США).

Информация о кибератаке на SoftServe появилась 1 сентября. Хакеры вроде бы получили доступ к инфраструктуре компании; часть сервисов SoftServe был вынужден отключить, чтобы деятельность компании не пострадала полностью.

В тот же день старший вице-президент SoftServe по вопросам IT Адриан Павликевич подтвердил факт кибератаки, но заверил, что к значительным последствиям она не привела: «Из наиболее существенных последствий атаки — временная утрата трудоспособности части почтовой системы и остановка части вспомогательных тестовых сред».

Через два дня на одном из Telegram-каналов, которые выкладывают слитые данные, были обнародованы архивы с программным кодом SoftServe — на это указывали строки кода в отдельных файлах. Как отмечает AIN.UA, канал, где появились слитые данные, ведет хакер из Российской Федерации. В нем более 15 тысяч подписчиков.

Еще одна волна слитых файлов на том же канале появилась 16 сентября. В архивах содержалась информация о продуктах SoftServe — финансово-техническом проекте Digital Banking, антивирусе Cylance и внутренней CRM-системе. Еще один архив содержал скан-копии документов сотрудников компании, фамилии которых начинались на буквы A-D. Среди них были и иностранцы.

На оба слива данных SoftServe отреагировал примерно одинаково: заявил, что они стали следствием одной и той же кибератаки от 1 сентября. «Это распространенная тактика в подобных случаях, цель которой — запугать, чтобы требовать выкуп», — объяснили свою позицию SoftServe в комментарии AIN.UA.

Была ли среди слитых в сеть данных информация о клиентах — точно пока неизвестно. Интернет-ресурс ebanoe.it проанализировал слитые данные и утверждает, что ситуация с кибератакой на SoftServe гораздо серьезнее, чем об этом заявляет компания. Среди прочего, злоумышленники могли получить доступ к серверам таких компаний, как IBM, Microsoft, Panasonic, Deutsche Bank и т.д. — все они пользовались сервисами SoftServe.

Позже ebanoe.it заявил, что на сайт осуществили DDoS-атаку, и обвинил в этом SoftServe. Компания же, в свою очередь, опровергла эти обвинения и заявила об информационной атаке против себя.

ОБНОВЛЕНО: В SoftServe позже обнародовали официальную позицию о кибератаке 1 сентября. Там отметили, что все ключевые корпоративные системы компании не пострадали, а для расследования обстоятельств инцидента привлекли одного из ведущих мировых экспертов по кибербезопасности.

«Безопасность наших клиентов и сотрудников остается нашим приоритетом. Мы понимаем, какими могут быть последствия атаки для наших нынешних и бывших сотрудников и клиентов, и активно общаемся с ними. Мы обеспечиваем и продолжим обеспечивать каждого, кто пострадал из-за атаки технической, юридической, финансовой и другой помощью», — говорится в заявлении SoftServe, которое компания предоставила hromadske.

Кибератаку, скорее всего, совершили из-за уязвимости в программе-кастомизаторе рабочего стола для Windows Rainmeter, передает Bleeping Computer. Во время кибератаки программа подгрузила зараженный файл, которым пользуется Rainmeter для настроек, чем дала злоумышленникам доступ к компьютерам. В SoftServe отметили, что «в настоящее время антивирусы почти не определяют такую технологию кибератаки».

Специалист по кибербезопасности Егор Папишев считает, что кибератаку на SoftServe могли осуществить или по заказу фирмы-конкурента (чтобы нанести репутационный удар), или же по инициативе группы киберкриминала для материальной выгоды.

«Судя по последствиям атаки, в защите были допущены пробелы. Думаю, сотрудникам было об этом известно, и кибератака была чем-то ожидаемым, учитывая расхождения с принятыми в индустрии кибербезопасности подходами к защите корпоративных информационных активов», — добавляет он.

Кибераналитик Сергей Харюк отмечает другой аспект ситуации: сотрудники SoftServe (как нынешние, так и бывшие), чьи личные данные оказались в открытом доступе, вряд ли смогут защитить свои права. «Когда у нас в стране вытекают персональные данные граждан, никто на это не реагирует. А было бы неплохо, потому что сотрудникам по крайней мере не мешало бы изменить свои паспорта, в некоторых есть копии виз», — объясняет он.

Поделиться: