Jira преткновения: волна атак HellCat вскрывает данные корпораций
Как обычная тикет-система стала ключом к сейфу Ascom.
Швейцарская телекоммуникационная компания Ascom подтвердила кибератаку на свою ИТ-инфраструктуру. 16 марта хакеры получили несанкционированный доступ к технической тикет-системе. На фоне инцидента ведётся внутреннее расследование, также к работе подключены правоохранительные органы.
Ascom заверяет, что инцидент не повлиял на бизнес-процессы, а клиентам и партнёрам не требуется принимать каких-либо дополнительных мер. Ответственность за атаку взяла на себя группировка HellCat, известная серией аналогичных взломов через уязвимости Jira. Участник группы под ником «Rey» сообщил, что хакеры похитили около 44 ГБ данных, среди которых исходные коды продуктов, проектная документация, счета и конфиденциальные записи из тикет-системы.
Сервис Jira, используемый для управления проектами и отслеживания задач в ИТ-командах, часто содержит чувствительную информацию — от ключей аутентификации и исходного кода до клиентских данных и внутренних обсуждений. Ранее группа уже атаковала Schneider Electric , Telefónica и Orange Group, проникнув в их системы через скомпрометированные серверы Jira. В этих случаях также использовались похищенные учётные данные сотрудников.
Недавно HellCat заявили о новой атаке — на автоконцерн Jaguar Land Rover. Тогда злоумышленники похитили и опубликовали около 700 внутренних документов, включая журналы разработки, исходные коды и персональные данные сотрудников. Тогда использовались старые, но всё ещё действующие учётные данные сотрудника LG Electronics, имевшего доступ к Jira-серверу JLR.
Вслед за атаками на Ascom и JLR, хакеры объявили о взломе сервера Jira американской маркетинговой компании Affinitiv, работающей с автопроизводителями и дилерскими сетями. По данным HellCat, хакерам удалось похитить базу с более чем 470 000 уникальных email-адресов и свыше 780 000 записей. В подтверждение атаки были опубликованы скриншоты с именами, адресами электронной почты и почтовыми адресами клиентов. В Affinitiv подтвердили начало расследования.
Такой механизм проникновения подтверждает типичную тактику группы HellCat: использование логинов, полученных в результате заражения сотрудников инфостилерами. Такие учётные записи, несмотря на давнюю утечку, часто продолжают функционировать, поскольку компании не обновляют пароли регулярно.
Специалисты отметили, что Jira становится приоритетной целью атак из-за своей значимости в рабочих процессах и большого объёма хранимых данных. Доступ к Jira может открывать путь для движения внутри корпоративной сети, повышения привилегий и кражи критически важной информации.