Еще серьезнее может быть проблема, когда жертвой оказывается компания, предоставляющая вам услуги удаленного обслуживания инфраструктуры IT или оказывающая услуги по разработке ПО и внедрению IT-систем. Аутсорсинг подобных задач сторонним организациям является распространенной практикой. На прошлой неделе стало известно об атаке на индийскую компанию Wipro, крупного поставщика IT-услуг. Сначала о компрометации корпоративной сети Wipro написал независимый журналист Брайан Кребс, а потом информацию подтвердили в самой компании (, Брайана).
Wipro — это очень крупный поставщик IT-сервисов с оборотом в 8 миллиардов долларов в год и десятками тысяч клиентов по всему миру, включая солидные компании и государственные органы. Количество сотрудников компании превышает 170 тысяч. Примеры проектов, упоминаемые в СМИ: внедрение ERP-системы, обновление инфраструктуры для обработки страховых медицинских полисов, внедрение систем клиентской поддержки. Сложные проекты такого уровня предполагают широкий доступ представителей компании к корпоративной сети клиентов.
Что достоверно произошло в компании в марте 2019 года, неизвестно: журналист Брайан Кребс основывается на анонимных источниках на стороне клиентов Wipro, а сама компания в своих заявлениях деталей не раскрывает. Кроме одной: первоначальным методом проникновения в корпоративную сеть компании стал фишинг. Предположительно злоумышленникам удалось получить доступ к компьютеру одного из сотрудников компании, который затем использовался для атаки на других работников. Для удаленного управления конечными устройствами использовалось легитимное ПО ScreenConnect — его, по данным источника, принимавшего участие в расследовании, нашли на сотне компьютеров, имевших доступ как к внутренней сети Wipro, так и к инфраструктуре клиентов компании. Использовалась также утилита Mimikatz — свободно распространяемая программа для извлечения паролей на компьютерах под управлением Windows.
Но это по данным «анонимных» источников. Официально, в изданию India Times, представители Wipro лишь признали факт успешной фишинговой атаки и сообщили о найме независимых экспертов для проведения расследования. Позднее, во время переговоров с инвесторами (по Кребса), представитель компании квалифицировал произошедшее как «атаку нулевого дня».
Источники Кребса намекают, что ничего сложного в этой атаке не было. Достаточно быстро (за несколько недель) ее удалось отследить благодаря тому, что злоумышленники начали использовать вновь полученный доступ к инфраструктуре компании для мошенничества с подарочными картами розничных сетей. Люди с серьезными намерениями, не разменивающиеся на подобные мелочи, могли оставаться необнаруженными гораздо дольше.
Как минимум в публичном поле реакция Wipro на инцидент была, мягко говоря, не идеальной: проблему долго не признавали, подробностей атаки не представили, делали противоположные заявления (то фишинг, то зиро-дей). Максимально возможная прозрачность при раскрытии информации о киберинцидентах становится не только этической нормой для бизнеса, но и постепенно превращается в законодательное требование во многих странах. Так или иначе, как минимум один клиент компании предпочел заблокировать доступ в собственные IT-системы всем сотрудникам Wipro до завершения расследования. Сама же индийская организация работает над внедрением более защищенной корпоративной электронной почты.
В отношении атак типа supply chain подробное описание атаки и трезвая оценка нанесенного ущерба особенно важны. Не для того, чтобы об этом написали СМИ, — клиентам пострадавшей компании важно понимать, что произошло и какие шаги следует предпринимать, чтобы защититься самим. Свежее исследование , что примерно в половине случаев атакующие пытаются использовать взломанную инфраструктуру одной компании для атаки на другие организации.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
