Полный список угроз CrowdStrike попал в лапы хакеров
Почему специалисты утверждают, что эту атаку нельзя назвать «взломом»?
Компания CrowdStrike, признанный лидер в области кибербезопасности, пострадала от утечки, ответственность за которую взяла на себя хакерская группа USDoD. По утверждению злоумышленников, им удалось добыть полный внутренний перечень угроз CrowdStrike, включая индикаторы компрометации (IoC). Документ содержит 250 миллионов записей о различных хакерских группировках.
В блоге от 25 июля 2024 года компания подтвердила заявления хакеров. USDoD разместила ссылку для скачивания предполагаемого списка угроз и предоставила примеры данных на известном хакерском форуме BreachForums.
Ситуация развивается на фоне недавнего глобального сбоя в IT-системах 19 июля , вызванного ошибкой в обновлении контента для платформы CrowdStrike Falcon. В результате была серьезно нарушена работа ключевых секторов, включая авиацию, банковскую сферу, СМИ и здравоохранение.
Как сообщают представители CrowdStrike, опубликованный USDoD образец содержит следующую информацию:
- Псевдонимы злоумышленников
- Страны происхождения
- Описание угроз
- Даты последней активности
- Уровни достоверности
- Классификации угроз
Компания также подчеркнула, что сведения о киберугрозах априори доступны множеству их проверенных клиентов и партнёров, а также потенциальным заказчикам и сотням тысяч пользователей, но не находятся в открытом доступе.
В образце утечки приведены данные с датами «последней активности», не позднее июня 2024 года. Тем не менее, в системе Falcon последние даты активности некоторых упомянутых злоумышленников отмечены июлем 2024 года. Значит, системы были взломаны совсем недавно.
USDoD также утверждает, что они завладели полным списком индикаторов компрометации CrowdStrike и в ближайшее время планируют его опубликовать. Обычно с помощью таких индикаторов специалисты определяют методы, которыми пользуются хакеры при атаках.
В интервью для Infosecurity Magazine CrowdStrike подчеркивает — даже если утверждения атакующих верны, это не является взломом в классическом понимании этого слова:
«Взлома CrowdStrike не было. Эти данные о киберугрозах доступны тысячам наших клиентов и партнёров».
По данным CrowdStrike, группа USDoD активна как минимум с 2020 года и осуществляет как хактивистские, так и финансово мотивированные атаки. В последние два года хакеры сосредоточились на целенаправленных операциях по проникновению в системы крупных компаний. В основном для этого применяются методы социальной инженерии.
В сентябре 2023 года USDoD заявила о краже персональных данных кредитного агентства TransUnion, а также о взломе данных компании Airbus в том же месяце.
CrowdStrike также отмечает, что USDoD склонна преувеличивать свои заявления, возможно, стремясь повысить свой авторитет в хактивистских и киберпреступных кругах.
Эксперты рекомендуют организациям усилить меры безопасности и внимательно следить за развитием ситуации, поскольку утечка данных о киберугрозах может привести к новым атакам и эксплуатации уязвимостей.