Одна з найбільших українських компаній SoftServe в ніч із 31 серпня на 1 вересня зазнала масованої кібератаки. Пізніше в мережу потрапила інформація про її комерційні проєкти та особисті дані її співробітників. У SoftServe запевняють: до даних клієнтів хакери доступ не отримали. А фахівці з кібербезпеки намагаються пояснити, як найбільша ІТ-компанія України виявилася незахищеною перед нападом.
Основна діяльність SoftServe — розробка сервісного програмного забезпечення, передусім для фінансової сфери та електронної комерції. Компанія працює з 1996 року, її головні офіси розташовані у Львові й Остіні (штат Техас, США), пише Громадське.
Інформація про кібератаку на SoftServe з’явилася 1 вересня. Хакери начебто отримали доступ до інфраструктури компанії; частину сервісів SoftServe був змушений відімкнути, аби діяльність компанії не постраждала повністю.
Того ж дня представник старший віцепрезидент SoftServe із питань ІТ Адріян Павлікевич підтвердив факт кібератаки, але запевнив, що до значних наслідків вона не призвела: «Із найбільш суттєвих наслідків атаки — тимчасова втрата працездатності частини поштової системи й зупинка частини допоміжних тестових середовищ».
Через два дні на одному з Telegram-каналів, які викладають злиті дані, були оприлюднені архіви з програмним кодом SoftServe — на це вказували рядки програмного коду в окремих файлах. Як зазначає AIN.UA, канал, де з’явилися злиті дані, веде хакер із Російської Федерації. У ньому понад 15 тисяч підписників.
Ще одна хвиля злитих файлів на тому ж каналі з’явилася 16 вересня. В архівах містилася інформація про продукти SoftServe — фінансово-технічний проєкт Digital Banking, антивірус Cylance і внутрішню CRM-систему. Ще один архів містив скан-копії документів співробітників компанії, прізвища яких починалися на літери A-D. Серед них були й іноземці.
На обидва зливи даних SoftServe реагував приблизно однаково: заявив, що вони стали наслідком однієї й тієї ж кібератаки від 1 вересня. «Це поширена тактика в подібних випадках, мета якої — залякати, щоб вимагати викуп», — пояснили свою позицію в SoftServe у коментарі AIN.UA.
Чи була серед злитих у мережу даних інформація про клієнтів — точно поки невідомо. Інтернет-ресурс ebanoe.it проаналізував злиті дані й стверджує, що ситуація з кібератакою на SoftServe набагато серйозніша, ніж про це заявляє компанія. Серед іншого, зловмисники могли отримати доступ до серверів таких компаній, як IBM, Microsoft, Panasonic, Deutsche Bank тощо - всі вони користувалися сервісами SoftServe.
Пізніше ebanoe.it заявив, що на сайт здійснили DDoS-атаку, і звинуватив у цьому SoftServe. Компанія ж, своєю чергою, заперечила ці звинувачення і заявила про інформаційну атаку проти себе.
Кібератаку, найімовірніше, здійснили через вразливість у програмі-кастомізаторі робочого столу для Windows Rainmeter, передає Bleeping Computer. Під час кібератаки програма підвантажила заражений файл, яким користується Rainmeter для налаштувань, чим дала зловмисникам доступ до комп’ютерів. У SoftServe зазначили, що «нині антивіруси майже не визначають таку технологію кібератаки».
Фахівець із кібербезпеки Єгор Папишев вважає, що кібератаку на SoftServe могли здійснити або на замовлення фірми-конкурента (аби завдати репутаційного удару), або ж з ініціативи групи кіберкриміналу задля матеріальної вигоди.
«Судячи з наслідків атаки, в захисті були допущені прогалини. Думаю, співробітникам було про це відомо, і кібератака була чимось очікуваним, ураховуючи розхождення з прийнятими в індустрії кібербезпеки підходами до захисту корпоративних інформаційних активів», — додає він.
Кібераналітик Сергій Харюк зауважує інший аспект ситуації: співробітники SoftServe (як нинішні, так і колишні), чиї особисті дані опинилися у відкритому доступі, навряд чи зможуть захистити свої права. «Коли в нас у країні витікають персональні дані громадян, ніхто на це не реагує. А було б непогано, бо співробітникам принаймні не заважало б змінити свої паспорти, в деяких є копії віз», — пояснює він.
