В октябрьском дайджесте собрали инциденты, которые точно пощекотали нервы ИБ-отделам пострадавших компаний. На хэллоуинской повестке – миллионная афера с мертвыми душами, хакер, смертельно обиженный непризнанием заслуг, и страшно частые атаки на геймдев.
ПРИЗРАЧНЫЙ ПОДРЯД
Что случилось: производитель кухонной утвари Williams Sonoma потерял более $10 млн из-за мошенничества сотрудника.
Как это произошло: 48-летний Бен Томас работал главным менеджером в одном из распределительных центров Williams Sonoma. В обязанности Томаса входил выбор компании для найма временного персонала и утверждение им выплат до $50 тыс. При этом Томасу было запрещено выбирать для работы аффилированные с ним компании.
Позже , что Томас скрыл от работодателя факт того, что владел компанией по найму временных сотрудников. С ее помощью в период с 2017 по 2023 год Томас заработал более $10 млн. Выбирал свою компанию как подрядчика, самостоятельно проводил оплату, а на деле не оказывал никаких услуг.
Вырученные деньги Томас потратил на дом площадью 1200 м2, яхту, автомобили, билеты на спортивные мероприятия – и даже (sic!) клонирование животных. Если суд признает Томаса виновным, то ему может грозить максимальное наказание – порядка 30 лет лишения свободы и многотысячный штраф за каждый факт нарушения.
КОЖАНЫЕ НАНОСЯТ ОТВЕТНЫЙ УДАР
Что случилось: стажер компании ByteDance саботировал разработку нейросетей.
Как это произошло: программист Кейю Тянь устроился на стажировку в крупную китайскую компанию ByteDance. Однако вместо работы он намеренно добавлял ошибки в код. Коллеги стажера круглосуточно искали баги, но в итоге заподозрили неладное и начали расследование.
Вычислить саботажника благодаря логам. Они показали, что стажер, во-первых, создал путаницу с чекпоинтами (файлы-сохранения обучения ИИ). Тянь изменял параметры обучения моделей, менял входные данные, удалял чекпоинты или вовсе останавливал процесс обучения. Во-вторых, он загружал Pickle-файлы с вредоносным кодом. Файлы автоматически создавали баги, изменяли версию PyTorch (фреймворк для обучения ML) и т.д.
Тянь посещал все рабочие встречи, связанные с устранением багов, не вызывая ни у кого подозрений. На деле же он «держал руку на пульсе» и узнавал, как собираются действовать коллеги, чтобы эффективнее вредить разработке. В итоге команда из 30 программистов два месяца работала впустую. Сроки были сорваны, а деньги заказчиков потрачены зря.
Позже ByteDance ситуацию с Тянем. Технологический гигант утверждает, что СМИ преувеличивают масштаб инцидента, а программист был уволен еще в августе. Также бывший работодатель сообщил о поведении стажера в университет, где он учится, и в профессиональные ассоциации программистов, чтобы предупредить другие компании о вредителе.
При этом зачем Кейю Тянь взялся за саботаж, неизвестно. Кто знает: может, это идеологическая борьба против страшного будущего, как в «Терминаторах»?
УБИЙЦА ИСТОРИИ
Что случилось: Организацию Internet Archive, владеющую сервисом Wayback Machine, взломали дважды за месяц.
Как это произошло: 9 октября пользователи Wayback Machine стали получать странный . В нем говорилось, что их данные украдены, а искать их стоит в сервисе по отслеживанию утечек HIBP (Have I Been Pwned).
Основатель HIBP Трой Хант подтвердил, что незадолго до этого получил SQL-файл «ia_users.sql» весом 6,4 ГБ. По его , файл содержит 31 млн уникальных записей, среди которых email-адреса, хешированные Bcrypt пароли, временные метки их изменения и т.д. Самая поздняя запись датируется 28 сентября 2024 года, а данные были подтверждены как реальные. Также примечательно, что в тот же день на archive.org была совершена DDoS-атака.
О втором взломе стало известно 20 октября. Пользователи стали получать на старые запросы в техподдержку, касающиеся удаления сайтов из сервиса Wayback Machine. В сообщениях неизвестный автор – явно не сотрудник ТП – , что получил доступ к токенам платформы Zendesk, которую Archive использует для обработки запросов пользователей. Также он назвал «удручающим», что компания не заменила ключи API, раскрытые в ее GitLab.
Как выяснилось , речь шла про незащищенный файл конфигурации GitLab на одном из серверов разработки Internet Archive. Он и стал причиной двух взломов. В файле был токен аутентификации, который позволил загрузить исходный код archive.org и вычленить оттуда, в том числе, учетные данные для СУБД сайта. Доступ к СУБД, в свою очередь, позволил украсть данные пользователей, загрузить дополнительный исходный код и изменить сайт.
Примечательно, что эти подробности раскрыл «автор» первого взлома. Хакер связался со СМИ через посредника, обидевшись, что «его утечку» приписали группировке, которая совершила DDoS-атаку.
Но вся эта многосерийная драма не погубила сервис. На момент написания этого текста Internet Archive и Wayback Machine работают в штатном режиме.
СТРАШНОЕ ПРИСТРАСТИЕ
Что случилось: сотрудник украл почти £1 млн из-за тяги к азартным играм.
Как это произошло: 57-летний Алан Дойг почти 20 лет работал старшим помощником бухгалтера в городском совете города Гедлинг и слыл добропорядочным человеком.
Однако, как полиция, из-за пристрастия к азартным играм Алан регулярно переводил деньги муниципалитета на свой счет. За 19 лет работы он совершил в общей сложности 86 подобных транзакций на сумму £934 343 тыс.
Алан прекрасно знал, как работают его коллеги и финансовые системы городского совета. Это позволяло ему оставаться незамеченным. Но в 2021 из-за пандемии привычные процессы поменялись, появились новые требования закона. У коллег Алана стали появляться подозрения касательно необычных транзакций.
В итоге стартовало расследование, которое привело к судебным тяжбам. Алан признал вину и раскаялся, но все равно получил приговор в пять лет тюремного заключения.
После инцидента представитель муниципалитета заявил, что они не смогли бы предотвратить мошенничество, несмотря на «многочисленные проверки и средства контроля», т.к. «злоумышленник владел инсайдерской информацией».
МОНСТРЫ НА СВОБОДЕ!
Что случилось: геймдев-компания GameFreak, известная серией игр Pokemon, стала жертвой кибератаки. По той же причине перенести выход обновлений пришлось Red Barrels, которая разработала игры Outlast.
Как это произошло:12 октября в сети стали скриншоты тестовых сборок и исходного кода еще не вышедших игр франшизы Pokemon. Компания-разработчик быстро утечку и сообщила, что неизвестные украли колоссальный объем информации о нынешних и бывших сотрудниках, а также о людях, работающих по контракту. В открытый доступ попали их имена, адреса email, номера телефонов и т.д.
Компания принесла извинения и сообщила, что уже устранила уязвимость, которую злоумышленники использовали для взлома. Тем не менее, разработчик никак не отреагировал на многочисленные материалы по играм Pokemon, которые стали «гулять» по . Как минимум, среди слитого находятся: информация о будущих проектах, исходные коды игр, документы разработки и внутренняя коммуникации топ-менеджмента.
А 2 октября на сайте канадской компании Red Barrels «важное сообщение от команды». В нем разработчик сообщил о том, что на его ИТ-системы было совершенно нападение с целью получения доступа к данным.
Компания сразу же приняла меры по обеспечению безопасности и привлекла внешних экспертов для расследования инцидента. Тем не менее, по словам разработчика, из-за кибератаки им пришлось сдвинуть производственные сроки. По большей части это касается актуальной версии видеоигры Outlast Trials и планируемых обновлений к ней.
КОШМАР ДЛЯ CISO CISCO
Что случилось: у ИТ-гиганта Cisco произошла утечка данных.
Как это произошло: 14 октября неизвестный заявил о взломе Cisco. В посте на хакерском форуме он рассказал, что вместе с подельниками взломал компанию и похитил большое количество данных. Они выставлены на продажу на том же теневом форуме.
По заявлению хакера, «утекли» проекты Github, Gitlab и SonarQube, исходный код приложений, закодированные учетные данные, технологические SRC Cisco и их клиентов, тикеты Jira, API-токены, частные контейнеры AWS, сборки Docker, приватные и публичные ключи, SSL-сертификаты, информация о продуктах версии Premium и т.д.
После взлома с хакером связались . Они выяснили, что взлом произошел из-за открытого токена API, а также получили образцы украденных данных и скриншоты, доказывающие правдивость слов злоумышленника.
Изначально компания сообщила, что они не нашли доказательств компрометации системы, однако позже последовали противоречивые заявления. Cisco , что их системы не были взломаны, однако небольшое количество файлов, которые не были разрешены к публичной загрузке, все-таки могли быть опубликованы. Из-за этого 18 октября ИТ-гигант общедоступный портал DevHub.
СЕРИЙНЫЙ ФАКАП
Что случилось:произошла утечка данных из сетей «Бургер Кинг» и «Детский мир».
Как это произошло: 10 октября в интернете появилась информация сразу о двух утечках: сети ресторанов быстрого питания и сети магазинов .
В случае «Бургер Кинга» утекла БД с более 5 млн строк клиентских данных: номера телефонов, адреса email, даты рождения и т.д. У «Детского мира» утекло чуть более 1 млн строк: клиентские ФИО, номер телефонов, адреса email, а также номера бонусных карт.
Пресс-служба «Бургер Кинг» , что утечка произошла на стороне подрядчика, а «в числе пострадавших от атаки также могут присутствовать данные наших клиентов». «Детский мир» пока не комментировал ситуацию, но, вероятно, причины инцидента те же: ретейлер пользуется услугами того же подрядчика.
ДОКТОР, ТАК ВСЕ-ТАКИ ЧТО С НИМ?
Что случилось: хакеры заявили о взломе «Доктор Веб»
Как это произошло: в прошлом мы писали о взломе отечественной ИБ-компании. В этом месяце история получила продолжение. Напомним, что 14 сентября «Доктор» зафиксировал атаку на свои ресурсы и начал реагирование. Пришлось даже временно отключить сервера, но в итоге 17 сентября вендор сообщил о нейтрализации угрозы.
Однако теперь стало , что атака не ограничилась отключением серверов. Например, жертвой стал официальный Telegram-бот компании. Он стал рассылать пользователям сообщения, явно написанные не сотрудниками компании. В них утверждалось, что «Доктор Веб» взломан, клиентские данные скомпрометированы, а «антивирус теперь с изюминкой».
Также на просторах Telegram хакеры изложили свою версию событий. В своем канале (ссылки не даем по этическим причинам) они пишут: «нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat – системы, где велась разработка и обсуждались задачи и т.д.» В качестве подтверждения своих слов хакеры предоставили несколько БД внутренних ресурсов «Доктор Веб»: ldap.dev.drweb.com, vxcube.drweb.com, bugs.drweb.com, antitheft.drweb.com, rt.drweb.com и др.
Сама компания , что эти заявления соответствуют действительности – по крайней мере, «по большей части». «Какой-либо угрозы безопасности нашим пользователям ни обновления вирусных баз, ни обновления программных модулей не несут», – написал вендор на своем сайте.
Искренне сочувствуем коллегам и надеемся, что устранить последствия атаки им удастся все-таки полностью.
