IntelBroker взломал гиганта кибербезопасности и выставил полученные данные на продажу

В информационном пространстве появились сообщения о серьёзном киберинциденте. Хакер, известный под псевдонимом «IntelBroker», утверждает, что ему удалось проникнуть в системы одной из ведущих мировых компаний в области кибербезопасности с годовым доходом в 1,8 миллиарда долларов.

IntelBroker разместил объявление на известном форуме киберпреступников BreachForums, предлагая продажу доступа к чувствительным данным и системам пострадавшей компании за 20 тысяч долларов в криптовалюте Monero (XMR). При этом само название пострадавшей компании хакером раскрыто не было, видимо, чтобы она не успела принять защитные меры до продажи данных.

Скриншот публикации с хакерского форума BreachForums

Среди украденной информации, как заявляется, находятся SSL-ключи, доступ к протоколу передачи почты (SMTP), конфиденциальные логи, содержащие учётные данные, и доступ к Pointer Auth Authentication, что может относиться к аутентификации ARM Pointer.

Хакер заявил, что предоставит дополнительные сведения только после связи с потенциальными покупателями и согласился использовать услуги посредника или эскроу-сервиса для сделки. Также IntelBroker требует от покупателей подтверждения наличия средств и ограничивает продажу только для членов форума с высокой репутацией.

С момента своего появления в хакерском сообществе в октябре 2022 года IntelBroker был причастен к ряду громких утечек данных, включая DC Health Link, General Electric, Hewlett Packard Enterprise, международный аэропорт Лос-Анджелеса и американскую компанию-господрядчика Acuity. Таким образом, киберпреступник имеет некоторую положительную репутацию на хакерских форумах, а его заявлениям, в той или иной мере, даже можно верить.

Инцидент подчёркивает потенциальную уязвимость даже в системах ведущих компаний по кибербезопасности. Если информация о проникновении подтвердится, последствия могут оказаться значительными не только для самой компании, но и для её клиентов, а также для всей отрасли кибербезопасности.

Компания Zscaler, которая, видимо, подпадает под описание IntelBroker, уже начала расследование для выяснения, затронуты ли её системы. По данным со страницы обновлений безопасности компании, предварительные результаты показали, что не одном из серверов компании была обнаружена некая изолированная среда, которая «не была размещена в инфраструктуре Zscaler и не имела подключения к средам Zscaler», но, тем не менее, доступная из Интернета. «Тестовая среда была переведена в автономный режим для проведения экспертного анализа».

По состоянию на утро девятого мая, компания уверяет клиентов, что никакого воздействия на её клиентскую, производственную и корпоративную среду оказано не было, однако Zscaler на всякий случай привлекла стороннюю организацию по реагированию на инциденты, которая начала собственное независимое расследование.

Пока неясно, действительно ли IntelBroker имел в виду Zscaler, объявляя о продаже доступа, или это просто случайное совпадение, что компания обнаружила «изолированную среду, доступную из Интернета». Вероятно, позже мы ещё услышим громкую информацию, связанную с этой историей, и обязательно о ней расскажем.