Невероятный поворот в кибербезопасности Хакеры взломаны

Что произошло

Мир кибербезопасности в последние дни стал свидетелем редкой цепи событий. Klue, платформа для анализа рынка и конкурентов, в начале этого месяца подверглась серьезной кибератаке. Этот инцидент был классифицирован как атака на цепочку поставок, затронувшая не только саму Klue, но и множество ее клиентов. После обнаружения атаки около двадцати четырех клиентов Klue публично объявили и подтвердили, что их экземпляры Salesforce были скомпрометированы в результате атаки.

После атаки ответственность за нее взяла на себя группа злоумышленников под названием "Icarus". Группа начала кампанию вымогательства, нацеленную на Klue и ее клиентов, угрожая опубликовать украденные данные. С этой целью Icarus создала сайт утечек в сети Tor, заявив, что раскроет данные, если их требования не будут выполнены. Однако на этом история не закончилась и приняла гораздо более сложный оборот.

Появились веские признаки того, что Klue вела переговоры с нападавшими. Вероятным результатом этих переговоров стало то, что сайт утечек группы Icarus был недоступен в течение последних нескольких дней. Такая ситуация часто наблюдается в сценариях, когда был выплачен выкуп или достигнуто соглашение. Именно в этот момент произошло событие, редко встречающееся в инцидентах кибербезопасности. В частном уведомлении для своих клиентов Klue сообщила, что сама группа Icarus была взломана. Это невероятное развитие событий означало, что данные, украденные у Klue, теперь находятся в руках второй киберпреступной группы. Эта вторая группа начала собственную кампанию вымогательства, используя данные, полученные от Icarus.

Какие данные были украдены

Характер скомпрометированных данных вызывает серьезную озабоченность у пострадавших компаний. Утверждается, что информация, украденная первоначальной группой злоумышленников, Icarus, в основном состоит из деловых контактов и данных службы поддержки. Этот тип данных обычно включает имена клиентов, адреса электронной почты, информацию о компаниях, историю общения и детали запросов в службу поддержки. Попадание такой информации в руки злоумышленников создает серьезные риски, такие как целевые фишинговые атаки, кража личных данных и корпоративный шпионаж.

Ситуация несколько иная во втором случае кражи, что еще больше усложняет инцидент. Согласно утверждениям Klue, вторая киберпреступная организация, взломавшая группу Icarus, получила не все украденные данные, а лишь их часть. Эти данные описываются как "выборочные данные". Однако пока неясно, насколько полными являются эти "выборочные данные" и информацию каких компаний они содержат. На данный момент ни одна известная группа вымогателей, кроме Icarus, публично не заявляла о владении данными, украденными в ходе инцидента с Klue. Эта неопределенность усиливает давление на компании и клиентов, пострадавших от утечки данных.

Как произошла атака

Согласно имеющейся информации, атака была проведена как хорошо спланированная операция на цепочку поставок. Сначала злоумышленникам удалось проникнуть на платформу Klue. Для этого они использовали скомпрометированные устаревшие учетные данные, предположительно принадлежавшие компании, которые со временем стали незащищенными. Пока неизвестно, как были получены эти учетные данные, но этот метод показывает, что киберпреступники нацелились на распространенное слабое звено.

Получив доступ к системам Klue, хакеры перешли к следующему этапу, чтобы добраться до своей главной цели — данных клиентов. На этом этапе они получили токены OAuth, которые обеспечивают интеграцию Klue с такими платформами, как Salesforce, для ее клиентов. OAuth — это стандарт авторизации, который позволяет одному приложению (Klue) безопасно получать доступ к данным в другом приложении (Salesforce), не зная пароля пользователя. Похитив эти токены, злоумышленники выдали себя за приложение Klue, получили массовый доступ к данным клиентов и выгрузили их на свои системы. Установлено, что атака с использованием этого метода была проведена в период с 11 по 12 июня.

Кто пострадал

Масштаб атаки представляется весьма широким. На сегодняшний день около двух десятков клиентов Klue официально подтвердили, что их учетные записи Salesforce были скомпрометированы в результате этой атаки на цепочку поставок. Среди этих компаний — известные имена из секторов технологий, безопасности и финансов. Некоторые из публично идентифицированных пострадавших компаний: AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 и Tines.

Однако есть опасения, что этот список может быть лишь верхушкой айсберга. Известно, что у Klue сотни клиентов, и предполагается, что истинный радиус поражения атаки может быть гораздо шире. В уведомлении, предположительно отправленном Klue своим клиентам, говорилось, что в общей сложности от инцидента пострадали 195 клиентов. Хотя это число еще не подтверждено официально, оно дает важное представление о масштабах утечки.

С другой стороны, стоит отметить, что не все клиенты Klue пострадали. Например, некоторые клиенты, такие как ведущая компания по разработке программного обеспечения Autodesk, не пострадали от этой конкретной атаки, поскольку они используют платформу Klue без интеграции с Salesforce. Это указывает на то, что атака была специально нацелена на клиентов с включенной интеграцией Salesforce.

Что вы можете сделать

После инцидента как Klue, так и пострадавшие сторонние платформы приняли ряд мер. Чтобы предотвратить дальнейшее распространение утечки данных, 17 июня Salesforce отключила интеграцию с Klue. На странице статуса Salesforce указано, что эта интеграция до сих пор не включена. В качестве аналогичной меры предосторожности другая популярная платформа, Gong, также приостановила интеграцию с Klue.

На данный момент не было опубликовано официального и подробного руководства о конкретных шагах, которые должны предпринять организации и частные лица, являющиеся клиентами Klue или других пострадавших компаний. На данном этапе крайне важно, чтобы клиенты упомянутых компаний внимательно следили за официальными объявлениями и уведомлениями по электронной почте, поступающими непосредственно от этих компаний. Особенно рекомендуется проявлять бдительность в отношении возможных фишинговых атак, которые могут участиться в ближайшее время, учитывая, что были скомпрометированы деловые контакты и данные службы поддержки.

Что говорит компания

В понедельник Klue публично подтвердила утечку данных, заявив, что начала расследование. Однако компания еще не поделилась какими-либо подробными публичными обновлениями о результатах своего расследования. За кулисами, однако, компания, по-видимому, действует более активно.

Согласно отчету TechCrunch, Klue сообщила своим клиентам в частных уведомлениях, что связалась с группой Icarus, взявшей на себя ответственность за атаку, и что группа начала удалять украденные данные. Это развитие событий усиливает предположения о том, что Klue, возможно, заплатила выкуп, чтобы предотвратить публикацию данных.

В том же уведомлении Klue также поделилась удивительной информацией о том, что сама группа Icarus была взломана, и данные теперь находятся в руках другой группы. Компания заявила, что внимательно следит за развитием событий на этом фронте. Информационный источник SecurityWeek сообщил, что обратился в Klue за дополнительной информацией, но ответа пока не получил.

Источник

https://www.securityweek.com/more-klue-breach-victims-identified-as-hackers-get-hacked/