В последната година станахме свидетели на няколко нетипични високопрофилни пробива в мрежите на компании, които се явяват критично важна точка във веригата разработчик-приложение-потребител. Атаките не са обичайните хакерски набези, търсещи бърза финансова изгода, а добре подготвени и внимателно проведени атаки, чиито последици могат да нанесат огромни щети, както на засегнатите компании, така и на техните партньори, потребители и акционери.
Един такъв пробив например беше този към LastPass през август миналата година. Неизвестна страна успява да открадне изходен код и други чувствителни данни от компанията, предоставяща популярния мениджър на пароли. Но независимо от първоначалното омаловажаване на ситуацията от страна на LastPass, това се явява просто първата крачка в една внимателно проведена атака. Която месеци по-късно доведе до кражбата на трезорите с пароли на потребители на програмата. Броят на засегнатите не е известен, както и други подробности около атаката. Предвид огромната популярност на програмата и всички тайни, които LastPass пази, мащабите на атаката тепърва ще стават ясни, но вече може да се видят в Интернет. Сайтове вече дават съвети как да мигрирате към други онлайн мениджъри на пароли, вероятно е да видим и заведени дела към компанията и конкретни мерки от интернет регулаторите.
Тези дни станаха ясни подробности към друга високопрофилна атака, която на свой ред може да доведе до компрометирането не само на потребителска информация, но също така и на софтуерни вериги на доставка с висока чувствителност. Става дума за водещата CI/CD платформа и SaaS компания CircleCI.
В началото на януари тази година, CircleCI алармира, че са станали жертва на атака със зловредна програма и клиентите на платформата трябва да променят и изтеглят използваните от тях „тайни“ и ключове. В публикация от тази седмица, Роб Зубер, главен технологически мениджър в CircleCI даде повече подробности около инцидента. Оказва се, че всичко е започнало със заразяването на лаптопа на служител на компанията със зловреден софтуер, който откраднал сесийни токени или бисквитките, чрез които той остава вписан в сайтовете, в които се е логнал. Кражбата на тези т.нар. „сесийни токени“ позволява компрометирането на входа в среда, даже и ако е използвана MFA защита за това, обяснява Зубер. И независимо, че жертвата имала инсталирано антивирусно решение на системата си, хакерите останали незабелязано в системата в продължение на седмици.
„Поради това, че въпросният служител е притежавал високи привилегии за генерирането на продуктови токени за достъп, като част от всекидневните му задължения, неизвестната страна е успяла да достигне и извлече данни от набор от база данни и магазини, включително променливи от средата на клиентите, ключове и токени“, допълва Зубер. Чрез този си достъп, неизвестната страна успява да си осигури достъп до инфраструктурата на CircleCI в продължение на три седмици. Фактът, че част от откраднатата информация била криптирана не помогнало, тъй като в хода на атаката били откраднати също така и ключове за криптиране. Зубър успокоява, че всички дупки вече са покрити и инцидентът е успешно ограничен. Вземайки предвид обаче критичността на предоставяните от CircleCI платформа и услуги към софтуерната индустрия и факта, че хакерите са останали в мрежата на компанията в продължение на три седмици абсолютно необезпокоявано, то предпоставките за класически атаки към веригите за доставка тук изглеждат неизбежни.
И споменавайки атаки към високопрофилни цели извън финансовия, търговски или потребителски сектор, друга подобна атака е тази към доставчика на решения за управление на идентичността и достъпа Okta Inc. Компанията осигурява облачен софтуер и инструменти, насочени към компании и разработчици за доставянето на решения за защитен достъп в приложения, сайтове, корпоративни среди и др. Подобно на LastPass, мрежите на компанията бяха компрометирани поетапно. В началото на миналата година, неизвестна страна получава достъп до лаптопа на служител на Okta с високо ниво на достъп, като този достъп продължава почти седмица. Инцидентът се случва през януари, но шефът на Okta му дава публичност едва през март, като подобно на случая с LastPass и тук има омаловажаване на случая – със съответните последствия от това.
„Особено притеснително се явява това, че Okta явно са знаели за инцидента в края на януари, но не са го разкрили до тази седмица, с което потенциално са увеличили риска за атаки към техните клиенти“, пише в репортаж от края на март Джей Виджаян от страниците на Dark Reading. И отново, подобно на случая с LastPass, това се явява репутационен удар, като поне един от големите клиенти на Okta, Cloudflare, оттегля доверието си към компанията. А поводът за съобщението на шефа на Okta е, че именно през март, рансъмуер групата Lapsu$ осъществяват успешна атака към мрежите на компанията, крадат чувствителна вътрешна информация, корпоративни данни, както и данни на друг техен голям клиент – Microsoft. За да се стигне до края на миналата година, когато Okta съобщава официално за нов инцидент със сигурността, при който неизвестна страна копира информация от GitHub хранилището на Okta. Откраднат е изходен код.
И точно, както в предишните случаи – този с LastPass и CircleCI – последиците потенциално могат да са катастрофални, макар че по-вероятно е те да са причина за концентрирани и тясно профилирани атаки към конкретни цели за огромна финансова изгода. Все пак не става дума за обикновени хакери, които търсят бързи пари и известност, както при повечето киберпрестъпници, а групи, чието присъствие в медиите и в обектива на полицейските органи е нежелано за тях. Появиха се и разбира се алармистки публикации след атаката към Okta, които за щастие не се оказаха пророчески.
„Успешни атаки от този мащаб могат да имат опасен ефект в глобален план и да създадат верижна реакция в корпоративната сфера, при която самоличността на техните служители и партньори да бъде компрометирана. Пробивът в Okta има потенциала за катастрофални последици, които все още предстои да бъдат видени или почувствани“, написаха в материал от март миналата година Check Point.
И да, написаното от страна на Check Point без съмнение звучи алармистко и търсещо сензацията, като в някакъв сайт, търсещ кликове, но на теория е вярно. Без съмнение е така.
По-горе бяха представени сериозни инциденти от миналата година към едва три компании, но такива, които могат да имат разгромен ефект към техни клиенти и партньори, които не са претърпявали сериозен инцидент в сигурността през цялата си история и следват стриктно всички протоколи за сигурност. От разрушена репутация на самите компании до съсипани кариери, откраднати парични фондове в огромни размери и дори неразрешен достъп до критична инфраструктура. Уроците остават ненаучени и вероятно 2023 година няма да е по-различна в това отношение. Докато написаното от Check Point не стане реалност и защитната индустрия не започне най-после да действа не само на хартия, а в действителност проактивно, а не единствено реактивно, каквото е днешното положение на нещата.
