Security Week 31: атака на инфраструктуру Garmin

Security Week 31: атака на инфраструктуру Garmin
Как и атака на Twitter на прошлой неделе, выход из строя IT-инфраструктуры компании Garmin еще долго будут изучать как пример масштабного взлома с серьезными последствиями. Хотя производитель навигационного и фитнес-оборудования, ПО и сервисов на момент публикации не признал этого официально, с высокой вероятностью Garmin стала жертвой целевой атаки с шифрованием данных и последующим требованием выкупа.

5810040e394e223bb1fc95551aa98bd9.png

Подобные инциденты происходят в корпорациях регулярно, но довольно редко мы встречаемся c такими масштабными последствиями: атака вывела из строя сайт, колл-центр, облачные сервисы синхронизации данных, критически важный инструмент для пилотов-любителей и даже производственные линии.

3aea32c4c4993eb1786efb185802c633.png
Источники информации:
— Официальное сообщение компании.
Публикация Bleeping Computer с анонимными свидетельствами сотрудников Garmin.
— Обзорная публикация ThreatPost со ссылками на источники сообщений о проблемах на тайваньском производстве.
Статья ZDNet с примерами отказа работы сервисов на стороне пользователя.
Новость на Хабре.

7e1b4196fc40681796e284eb69b9389e.png

Проблемы с доступом к сервисам Garmin начались в четверг 23 июля, представители компании подтвердили это в Twitter только на следующий день. В субботу 25 июля сайт производителя поднялся, и там появилось краткое сообщение об инциденте. Не раскрывающее никаких деталей, не подтверждающее кибератаку и описывающее ситуацию кратким и ничего не обозначающим словом Outage — «технические неполадки».

9ca9f17f5b70181dbe3451d87f0e1b0f.png
Официальная позиция Garmin сводится к следующему: «неполадки» затрагивают всю систему техподдержки (телефон, почта, чат). Недоступен сервис Garmin Connect для пользовательских фитнес-устройств. Если вам не повезло и вы только что купили умные часы Garmin, вы не сможете их даже активировать. Не работает и синхронизация данных, нужная, к примеру, для просмотра статистики занятий спортом в приложении. Частично пострадал сервис спутниковой связи inReach (связь сама по себе работает, но сломана синхронизация данных).
В сообщении не упоминается платформа FlyGarmin, но она полностью вышла из строя. Это профессиональный сервис для пилотов-любителей, его отказ не позволяет загружать свежие карты, из-за чего, в свою очередь, нельзя подать заявку на полет. Единственный позитивный момент — по предварительной оценке Garmin, платежные и прочие данные пользователей не пострадали.

В общем, «технические неполадки» получились сложные, масштабные, затрагивающие практически все сферы деятельности компании — от поддержки до производства. Что это было? Пока мы вынуждены опираться на свидетельства сотрудников компании, пожелавших остаться анонимными. Судя по всему, причиной проблем стала атака с последующим шифрованием данных. Издание Bleeping Computer приводит скриншоты зашифрованных файлов…

1ab5f6869b7b7f1ebaab60186f2b23e6.jpeg

…И требований выкупа, где указано имя компании. По информации одного из источников, злоумышленники запросили 10 миллионов долларов.

c330890b30b2b254ab56a4ecf13bfd71.jpeg

В идеале атака шифровальщика не должна приводить к подобным масштабным последствиям. Если верить некоторым источникам, точкой входа могло послужить производство на Тайване, и в нормальных условиях атака не должна была распространиться на другие части инфраструктуры. Но это слишком простой вывод в отсутствие подтвержденной информации. Выключение цифровых сервисов компании могло быть мерой предосторожности. Кроме того, речь идет о целевой атаке, которая могла произойти задолго до того, как об этом стало известно. У киберпреступников наверняка было время подготовиться: это явно не «атака по площадям», не использование обычного трояна наудачу.

Подробный анализ инцидента в Garmin поможет другим компаниям эффективнее реагировать на подобные атаки. Насколько быстро и в каком объеме будет раскрыта такая информация, зависит от пострадавшего. Пока есть только одна похожая атака, информация о которой публично доступна в деталях: это вымогательство у компании Maersk после того, как ее системы взломали в 2017 году. В том случае была также затронута вся сетевая инфраструктура, потребовалось заново настроить 4000 серверов и 45 000 компьютеров. Ущерб составил около 300 миллионов долларов.

Пострадавшие владельцы устройств Garmin жалуются на зависимость от сетевой инфраструктуры: без облачных сервисов невозможно даже поменять циферблат на часах. Насколько это оправданно — другой разговор, но нашу зависимость от сетевых сервисов можно признать как факт. Их владельцам явно стоит больше инвестировать в защиту от кибератак.

Что еще произошло:

fca6be8918ba51f8539d2c167ba88e4a.png

Ссылки в твите выше ведут на интересное исследование , проведенное с участием компании Google. Вопрос, на который должен был ответить эксперимент: если пользователь ищет в Интернете симптомы пищевого отравления, дает ли результат внеочередная инспекция ресторанов, которые он посещал? Оказывается, польза есть: контроль качества в подозреваемых ресторанах выявлял нарушения в три раза чаще, чем обычно. С одной стороны, это пример использования технологий для повышения безопасности. С другой — демонстрация невероятных возможностей слежки за пользователями.

e6de3e8afec7c8eca9207ec27f666294.png

Журналисты Bleeping Computer пишут о деятельности анонимных «благородных разбойников», которые взламывают инфраструктуру спам-ботнета Emotet. Его инфраструктуру используют в том числе для того, чтобы перенаправлять получателей спама на вредоносные страницы. И именно эти ссылки взломщики подменяют на невинные картинки, аккуратно подобранные так, что потроллить тех, кто ботнетом управляет. Как работает акция «гифки вместо троянов», показано на видео выше.

Еще один пример деятельности (все же сомнительной) по исправлению чужих киберошибок руками «добрых самаритян». Неизвестные удаляют базы пользовательских данных, выложенные по ошибке в открытый доступ, а вместо них остается визитная карточка из одного слова: «мяу».

Обновления касательно главного события прошлой недели (см. предыдущий дайджест ). Корреспонденты Reuters сообщают , что доступ к консоли, обеспечивающей полный контроль над аккаунтами Twitter, имели около тысячи сотрудников компании. В их число входят люди, которые даже не были в штате, например представители крупных подрядчиков. Не исключено, что правила доступа к админке по итогам инцидента придется пересмотреть.

Большой материал Ars Technica рассказывает историю Adobe Flash, некогда прорывной платформы для сетевого креатива, позднее ставшей на несколько лет главной ахиллесовой пятой любого пользовательского компьютера. Плеер Flash официально «все» в декабре этого года.

Компания Apple предлагает исследователям безопасности подготовленный iPhone с отладочным интерфейсом, который упростит поиск уязвимостей в закрытой экосистеме компании. Ограничения для участников программы серьезные. Они обязаны уведомлять Apple об обнаруженных багах, при этом им запрещено передавать устройство третьим лицам.
garmin ransomware
Alt text

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права