В продължение на дълги години две от най-важните клиширани правила по отношение на киберсигурността бе да не се отварят подозрителни файлове от непознати имейли и да не се въвеждат лични данни в странни сайтове.
Това обаче отдавна не е достатъчно, а злонамерени хакери намират нови и все по-сложни начини да причиняват щети за милиони.
Така в петък бе извършена една от най-мащабните хакерски атаки, засегнала стотици фирми в поне 17 различни държави. Сред тях са железопътна компания, както и поне 500 магазина от най-голямата верига шведски супермаркети Coop.
Тепърва ще се изяснява мащаба на щетите и обема на откраднатата информация, като извършителят е банда, която е част от големия руски хакерски синдикат REvil. В неделя те публикуваха пост в своя блог, че искат да им бъдат платени биткойни на стойност 70 милиона долара, за да върнат достъпа до присвоените данни.
Обект на тяхната атака се оказва американската компания Kaseya, която създава и продава на други компании софтуер за управление на бизнес мрежи и устройства. От своя страна тези фирми използват въпросния софтуер, за да предоставят услуги на бизнеси като Coop и да управляват и поддържат тяхната IT инфраструктура.
В случая хакерите от REvil се възползват от слабост в автоматичната система за обновяване на софтуера, за да пробият защитата му и да го заразят в вирус, който веднъж попаднал в тази среда, плъзва надолу по веригата в абсолютно всички свързани мрежи.
Според изпълнителния директор на Kaseya атаката е засегнала едва 50-60 от техните 37 000 клиенти. Почти всичките от тях обаче управляват мрежите на хиляди други фирми от всякакъв мащаб в държави на три континента - от Coop с над 800 магазина в Швеция, през верига аптеки и бензиностанции до различни други бизнеси като адвокатски кантори, зъболекарски кабинети, библиотеки и др.
Мащабът е толкова голям, че от ФБР заявиха, че просто няма да имат възможност да откликнат на всяка една жертва поотделно.
Това практически представлява най-голямата подобна атака, комбинация от използването на два вида хакерски подхода - с рансъмуер злонамерен софтуер, който изтръгва финансов откуп от жертвите си, като заплашва да публикува, изтрие или блокира достъпа до важни лични данни, и т.нар. supply chain атака за внедряване на вируса чрез заразяването на програма като тази на Kaseya.
"Обикновено рансъмуер актьорите имат нужда от няколко слабости на различни нива или пък да се доберат до администраторските пароли", обяснява Шон Галахър, експерт по киберсигурност от британската компания Sophos. "Притеснителното в случая е, че REvil използват на всеки един етап доверени програми, което е една стъпка над това, което представляват типичните рансъмуер атаки."
Атаката срещу Kaseya не е първият удар на REvil, като групата е отговорна за поредица подобни случаи през последната година.
Последният е от края на май, когато успяха да измъкнат 11 милиона долара откуп от JBS, най-голямата месопреработвателна компания в света с близо 40 милиарда долара годишни приходи. Тогава техните сървъри са блокирани от вирус, който принуждава компанията да спре дейността си в САЩ, Канада и Австралия и по този начин за кратко засяга глобалния пазар на месо.
Вероятно REvil са свързани по някакъв начин и с DarkSide - руската хакерска група, за която се предполага, че има отговорност за блокирането на един от най-големите тръбопроводи в САЩ, пренасящ над 2,5 милиона барела гориво дневно и отговорен за захранването на почти цялото Източно крайбрежие на Щатите.
В този контекст попада и атаката срещу софтуерната компания SolarWinds, при която се оказа, че неизвестни засега руски хакери са достигнали до над 250 мрежи на американски държавни институции, включително и такива с изключително чувствителни данни на министерствата на финансите, търговията, енергетиката и външните работи.
Случаят с Kaseya за пореден път доказва доколко уязвима може да бъде всякакъв вид дигитална инфраструктура и колко наложително е вземането на мерки в тази посока.
Президентът Джо Байдън вече е наредил пълно разследване от страна на ФБР и Службата за киберсигурност и сигурност на инфраструктурата и намекна за евентуално участие на Кремъл.
"Първоначалната ни мисъл бе, че руското правителство няма участие, но все още няма как да бъдем сигурни в това", отговори той на въпрос от журналисти след посещение в Мичиган.
Не е задължително всички атаки от последната година да са дирижирани от Кремъл. Факт е обаче, че групи като REvil и DarkSide действат от територията на Русия и за момента все още няма известни атаки срещу руски компании или институции, нито пък случаи на разбити хакерски групи там.
Това навежда на предположението, че те най-малкото получават свобода на действие, а в някои случаи могат дори да си сътрудничат пряко със службите за сигурност, ако дейността им попада в по-широкия контекст на хибридната война срещу Запада.
