В октябрьском дайджесте собрали инциденты, которые точно пощекотали нервы ИБ-отделам пострадавших компаний. На хэллоуинской повестке – миллионная афера с мертвыми душами, хакер, смертельно обиженный непризнанием заслуг, и страшно частые атаки на геймдев.
Призрачный подряд
Что случилось: производитель кухонной утвари Williams Sonoma потерял более $10 млн из-за мошенничества сотрудника.
Как это произошло: 48-летний Бен Томас работал главным менеджером в одном из распределительных центров Williams Sonoma. В обязанности Томаса входил выбор компании для найма временного персонала и утверждение им выплат до $50 тыс. При этом Томасу было запрещено выбирать для работы аффилированные с ним компании.
Позже выяснилось, что Томас скрыл от работодателя факт того, что владел компанией по найму временных сотрудников. С ее помощью в период с 2017 по 2023 год Томас заработал более $10 млн. Выбирал свою компанию как подрядчика, самостоятельно проводил оплату, а на деле не оказывал никаких услуг.
Вырученные деньги Томас потратил на дом площадью 1200 м2, яхту, автомобили, билеты на спортивные мероприятия – и даже (sic!) клонирование животных. Если суд признает Томаса виновным, то ему может грозить максимальное наказание – порядка 30 лет лишения свободы и многотысячный штраф за каждый факт нарушения.
Кожаные наносят ответный удар
Что случилось: стажер компании ByteDance саботировал разработку нейросетей.
Как это произошло: программист Кейю Тянь устроился на стажировку в крупную китайскую компанию ByteDance. Однако вместо работы он намеренно добавлял ошибки в код. Коллеги стажера круглосуточно искали баги, но в итоге заподозрили неладное и начали расследование.
Вычислить саботажника получилось благодаря логам. Они показали, что стажер, во-первых, создал путаницу с чекпоинтами (файлы-сохранения обучения ИИ). Тянь изменял параметры обучения моделей, менял входные данные, удалял чекпоинты или вовсе останавливал процесс обучения. Во-вторых, он загружал Pickle-файлы с вредоносным кодом. Файлы автоматически создавали баги, изменяли версию PyTorch (фреймворк для обучения ML) и т.д.
Тянь посещал все рабочие встречи, связанные с устранением багов, не вызывая ни у кого подозрений. На деле же он «держал руку на пульсе» и узнавал, как собираются действовать коллеги, чтобы эффективнее вредить разработке. В итоге команда из 30 программистов два месяца работала впустую. Сроки были сорваны, а деньги заказчиков потрачены зря.
Позже ByteDance прокомментировала ситуацию с Тянем. Технологический гигант утверждает, что СМИ преувеличивают масштаб инцидента, а программист был уволен еще в августе. Также бывший работодатель сообщил о поведении стажера в университет, где он учится, и в профессиональные ассоциации программистов, чтобы предупредить другие компании о вредителе.
При этом зачем Кейю Тянь взялся за саботаж, неизвестно. Кто знает: может, это идеологическая борьба против страшного будущего, как в «Терминаторах»?
Убийца истории*
Скрытый текст
*Непризнанный
Что случилось: Организацию Internet Archive, владеющую сервисом Wayback Machine, взломали дважды за месяц.
Как это произошло: 9 октября пользователи Wayback Machine стали получать странный JavaScript-алерт. В нем говорилось, что их данные украдены, а искать их стоит в сервисе по отслеживанию утечек HIBP (Have I Been Pwned).
Основатель HIBP Трой Хант подтвердил, что незадолго до этого получил SQL-файл «ia_users.sql» весом 6,4 ГБ. По его оценке, файл содержит 31 млн уникальных записей, среди которых email-адреса, хешированные Bcrypt пароли, временные метки их изменения и т.д. Самая поздняя запись датируется 28 сентября 2024 года, а данные были подтверждены как реальные. Также примечательно, что в тот же день на archive.org была совершена DDoS-атака.
О втором взломе стало известно 20 октября. Пользователи стали получать ответы на старые запросы в техподдержку, касающиеся удаления сайтов из сервиса Wayback Machine. В сообщениях неизвестный автор – явно не сотрудник ТП – утверждал, что получил доступ к токенам платформы Zendesk, которую Archive использует для обработки запросов пользователей. Также он назвал «удручающим», что компания не заменила ключи API, раскрытые в ее GitLab.
Как выяснилось позже, речь шла про незащищенный файл конфигурации GitLab на одном из серверов разработки Internet Archive. Он и стал причиной двух взломов. В файле был токен аутентификации, который позволил загрузить исходный код archive.org и вычленить оттуда, в том числе, учетные данные для СУБД сайта. Доступ к СУБД, в свою очередь, позволил украсть данные пользователей, загрузить дополнительный исходный код и изменить сайт.
Примечательно, что эти подробности раскрыл «автор» первого взлома. Хакер связался со СМИ через посредника, обидевшись, что «его утечку» приписали группировке, которая совершила DDoS-атаку.
Но вся эта многосерийная драма не погубила сервис. На момент написания этого текста Internet Archive и Wayback Machine работают в штатном режиме.
Страшное пристрастие
Что случилось: сотрудник украл почти £1 млн из-за тяги к азартным играм.
Как это произошло: 57-летний Алан Дойг почти 20 лет работал старшим помощником бухгалтера в городском совете города Гедлинг и слыл добропорядочным человеком.
Однако, как выяснила полиция, из-за пристрастия к азартным играм Алан регулярно переводил деньги муниципалитета на свой счет. За 19 лет работы он совершил в общей сложности 86 подобных транзакций на сумму £934 343 тыс.
Алан прекрасно знал, как работают его коллеги и финансовые системы городского совета. Это позволяло ему оставаться незамеченным. Но в 2021 из-за пандемии привычные процессы поменялись, появились новые требования закона. У коллег Алана стали появляться подозрения касательно необычных транзакций.
В итоге стартовало расследование, которое привело к судебным тяжбам. Алан признал вину и раскаялся, но все равно получил приговор в пять лет тюремного заключения.
После инцидента представитель муниципалитета заявил, что они не смогли бы предотвратить мошенничество, несмотря на «многочисленные проверки и средства контроля», т.к. «злоумышленник владел инсайдерской информацией».
Монстры на свободе!
Что случилось: геймдев-компания GameFreak, известная серией игр Pokemon, стала жертвой кибератаки. По той же причине перенести выход обновлений пришлось Red Barrels, которая разработала игры Outlast.
Как это произошло: 12 октября в сети стали появляться скриншоты тестовых сборок и исходного кода еще не вышедших игр франшизы Pokemon. Компания-разработчик быстро признала утечку и сообщила, что неизвестные украли колоссальный объем информации о нынешних и бывших сотрудниках, а также о людях, работающих по контракту. В открытый доступ попали их имена, адреса email, номера телефонов и т.д.
Компания принесла извинения и сообщила, что уже устранила уязвимость, которую злоумышленники использовали для взлома. Тем не менее, разработчик никак не отреагировал на многочисленные материалы по играм Pokemon, которые стали «гулять» по сети. Как минимум, среди слитого находятся: информация о будущих проектах, исходные коды игр, документы разработки и внутренняя коммуникации топ-менеджмента.
А 2 октября на сайте канадской компании Red Barrels появилось «важное сообщение от команды». В нем разработчик сообщил о том, что на его ИТ-системы было совершенно нападение с целью получения доступа к данным.
Компания сразу же приняла меры по обеспечению безопасности и привлекла внешних экспертов для расследования инцидента. Тем не менее, по словам разработчика, из-за кибератаки им пришлось сдвинуть производственные сроки. По большей части это касается актуальной версии видеоигры Outlast Trials и планируемых обновлений к ней.
Кошмар для CISO Cisco
Что случилось: у ИТ-гиганта Cisco произошла утечка данных.
Как это произошло: 14 октября неизвестный злоумышленник заявил о взломе Cisco. В посте на хакерском форуме он рассказал, что вместе с подельниками взломал компанию и похитил большое количество данных. Они выставлены на продажу на том же теневом форуме.
По заявлению хакера, «утекли» проекты Github, Gitlab и SonarQube, исходный код приложений, закодированные учетные данные, технологические SRC Cisco и их клиентов, тикеты Jira, API‑токены, частные контейнеры AWS, сборки Docker, приватные и публичные ключи, SSL‑сертификаты, информация о продуктах версии Premium и т. д.
После взлома с хакером связались СМИ. Они выяснили, что взлом произошел из‑за открытого токена API, а также получили образцы украденных данных и скриншоты, доказывающие правдивость слов злоумышленника.
Изначально компания сообщила, что они не нашли доказательств компрометации системы, однако позже последовали противоречивые заявления. Cisco сообщили, что их системы не были взломаны, однако небольшое количество файлов, которые не были разрешены к публичной загрузке, все‑таки могли быть опубликованы. Из‑за этого 18 октября ИТ‑гигант отключил общедоступный портал DevHub.
Серийный факап
Что случилось: произошла утечка данных из сетей «Бургер Кинг» и «Детский мир».
Как это произошло: 10 октября в интернете появилась информация сразу о двух утечках: сети ресторанов быстрого питания «Бургер Кинг» и сети магазинов «Детский мир».
В случае «Бургер Кинга» утекла БД с более 5 млн строк клиентских данных: номера телефонов, адреса email, даты рождения и т. д. У «Детского мира» утекло чуть более 1 млн строк: клиентские ФИО, номер телефонов, адреса email, а также номера бонусных карт.
Пресс‑служба «Бургер Кинг» сообщила, что утечка произошла на стороне подрядчика, а «в числе пострадавших от атаки также могут присутствовать данные наших клиентов». «Детский мир» пока не комментировал ситуацию, но, вероятно, причины инцидента те же: ретейлер пользуется услугами того же подрядчика.
Доктор, так все-таки что с ним?
Что случилось: хакеры заявили о взломе «Доктор Веб»
Как это произошло: в прошлом НБД мы писали о взломе отечественной ИБ‑компании. В этом месяце история получила продолжение. Напомним, что 14 сентября «Доктор» зафиксировал атаку на свои ресурсы и начал реагирование. Пришлось даже временно отключить сервера, но в итоге 17 сентября вендор сообщил о нейтрализации угрозы.
Однако теперь стало известно, что атака не ограничилась отключением серверов. Например, жертвой стал официальный Telegram‑бот компании. Он стал рассылать пользователям сообщения, явно написанные не сотрудниками компании. В них утверждалось, что «Доктор Веб» взломан, клиентские данные скомпрометированы, а «антивирус теперь с изюминкой».
Также на просторах Telegram хакеры изложили свою версию событий. В своем канале (ссылки не даем по этическим причинам) они пишут: «нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи и т. д.» В качестве подтверждения своих слов хакеры предоставили несколько БД внутренних ресурсов «Доктор Веб»: ldap.dev.drweb.com, vxcube.drweb.com, bugs.drweb.com, antitheft.drweb.com, rt.drweb.com и др.
Сама компания опровергла, что эти заявления соответствуют действительности — по крайней мере, «по большей части». «Какой‑либо угрозы безопасности нашим пользователям ни обновления вирусных баз, ни обновления программных модулей не несут», — написал вендор на своем сайте.
Искренне сочувствуем коллегам и надеемся, что устранить последствия атаки им удастся все‑таки полностью.