С каждым днем хакеры становятся все опаснее и изощреннее. Они без труда находят лазейки, с помощью которых воруют крупные суммы денег и парализуют работу целых корпораций. Свежий пример — громкий взлом всемирно известной компании Garmin, которая производит умные часы и навигационную технику. В результате этого инцидента бизнес потерял миллионы долларов, а клиенты Garmin в течение нескольких дней не могли использовать устройства Garmin и даже дозвониться в службу поддержки. Чтобы сохранить бизнес, компания была вынуждена заплатить мошенникам крупный выкуп. Как произошло одно из самых громких киберпреступлений года и можно ли защититься от подобных атак — в материале «Ленты.ру».
Часики тикают
Атака на компанию Garmin была зафиксирована 22 июля. Пользователи фирменных гаджетов обратили внимание на то, что у них пропал доступ к сервису Garmin Connect — через это мобильное приложение происходит синхронизация умных часов с «облаком» или другими устройствами (например, со смартфонами и планшетами). Одновременно появились неполадки с сервисом авиационной навигации flyGarmin — сотрудники компании на всякий случай временно его отключили.
Находящиеся в замешательстве пользователи не могли дозвониться или дописаться в поддержку сервиса, поскольку сбой затронул центры обработки вызовов. Представители компании заверяли, что решают проблемы, вызванные хакерской атакой, однако на протяжении нескольких дней им это не удавалось. В Азии даже встали производственные линии.
Как стало известно позже, инфраструктура компании подверглась атаке программы-вымогателя WastedLocker — эксперты в области кибербезопасности связывают его с хакерской группировкой Evil Corp. После попадания на компьютер жертвы вредоносное ПО блокирует файлы пользователей и требует выкуп в криптовалюте, чтобы вернуть доступ к зашифрованным данным.
В разговоре с «Лентой.ру» ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин рассказал, как обычно происходят подобные взломы. По его словам, первоначальный доступ в сетевую инфраструктуру организации осуществляется с использованием фреймворка SocGholish: жертве демонстрируется веб-страница с предложением обновить браузер, при этом под видом обновления пользователь загружает вредоносный скрипт. Для последующей компрометации используется Cobalt Strike — популярный инструмент для проведения тестов на проникновение.
«Атакующие стараются внимательно относиться к атакуемым системам и в первую очередь шифруют наиболее критичные из них, предварительно избавившись от доступных резервных копий», — заключил эксперт.
Не просто трекеры
На первый взгляд, проблема Garmin выглядит не слишком серьезной, ведь многие пользователи знают компанию как производителя умных часов для спортсменов. На самом деле ситуация оказалась куда плачевнее. Дело в том, что от поставляемого Garmin оборудования в равной степени зависят владельцы малотоннажного флота и легкой авиации, а также других предприятий, чья деятельность связана с использованием карт и спутниковой навигации. В частности, пилоты самолетов не могли загрузить данные для навигационных систем — вся техника с авионикой Garmin оказалась под угрозой.
Корпорация уделяет много внимания и морскому флоту. По официальным данным за 2019 год, доля выручки от продаж услуг и техники для кораблей увеличилась на 9 процентов по сравнению с предыдущим отчетным периодом. За это время Garmin стала эксклюзивным поставщиком электроники для производителей судов Regulator Marine и Sea Hunt. Кроме того, Национальная ассоциация морской электроники США (National Marine Electronics Association) пятый раз подряд признала компанию производителем года.
Технологии Garmin использовались даже в американской армии. Еще в 1991 году военные закупили портативные GPS-приемники для солдат, служивших в Кувейте и Саудовской Аравии во время войны в Персидском заливе.
Скулкин отмечает, что крупные компании все чаще становятся жертвами хакеров. Выручка с успешной атаки исчисляется сотнями тысяч и даже миллионами долларов.
«Если еще год назад вымогатели довольно часто обогащались с помощью массовых рассылок фишинговых писем, то сегодня главной целью атакующих становятся компании с большой выручкой — это позволяет злоумышленникам требовать значительный выкуп за расшифровку», — рассказал специалист.
Сотрудник Group-IB добавил, что подобные атаки происходят с участием операторов: перед тем как распространить вредоносное ПО в сети, последняя тщательно изучается и становится полностью подконтрольной злоумышленникам. По словам Скулкина, пару лет назад такие атаки активно реализовывались против банков, теперь же их разворачивают против организаций, которые оказались совершенно к ним не готовы.
Патовая ситуация
После взлома Garmin оказалась между двух огней. Теоретически компания могла заплатить выкуп злоумышленникам, которые требовали 10 миллионов долларов — для транснациональной корпорации с выручкой более 3,7 миллиарда долларов это совсем небольшие деньги. Однако при таком решении руководство компании могло столкнуться с новыми проблемами. Во-первых, вымогатели имели бы возможность повторить свои действия и потребовать еще больше денег. К тому же нет гарантии, что злоумышленники не оставили «бомбу замедленного действия», которая подорвет инфраструктуру во второй раз.
К такому же выводу пришли представители ФБР. На официальном сайте ведомства в 2019 году появилось сообщение, в котором представители спецслужб призвали жертв хакеров ни в коем случае не выплачивать выкуп.
«Выплаты только поощряют их и способствуют дальнейшей преступной деятельности. По сути, хакеры будут продолжать атаковать до тех пор, пока им это выгодно. Таким образом, дальнейшее повышение прибыльности только способствует увеличению частоты попыток вымогательства», — объяснял сотрудник ФБР Герберт Стэплтон.
Во-вторых, в случае уплаты выкупа Министерство финансов США подвергло бы Garmin серьезным санкциям. В конце 2019 года американские власти выдвинули официальные обвинения против Evil Corp. По данным Минюста США, за хакерской группировкой стоят опасные русские хакеры, к тому же связанные с российскими спецслужбами. Главным зачинщиком кибербеспорядков называют Максима Якубца — гражданина Украины, который сейчас якобы находится в столице России. Американские правоохранительные органы приписывают его группировке десятки киберпреступлений и кражу десятков миллионов долларов.
«Evil Corp использовала вредоносное ПО для заражения компьютеров и сбора учетных данных сотен банков и финансовых учреждений более чем в 40 странах, в результате чего было украдено более 100 миллионов долларов», — сообщали представители Министерства юстиции США.
В результате власти США пообещали накладывать санкции на любую американскую компанию, которая будет сотрудничать с киберпреступниками.
Хакеры победили
Несмотря на огромные риски со всех сторон, Garmin решила пойти на поводу у вымогателей. По данным Sky News, представители американской компании все-таки нашли способ расшифровать данные на своих компьютерах — они получили ключ дешифрования от хакеров. Правда, выполнить условия вымогателей напрямую они побоялись.
Осведомленные источники издания сообщили, что изначально Garmin попыталась заплатить выкуп через другую киберзащитную фирму, которая специализируется на подобных вопросах. Но представители фирмы ответили, что не ведут переговоров о выплате в случае с вирусом WastedLocker из-за риска нарушения американских законов.
После этого руководство Garmin было вынуждено обратиться к другой компании под названием Arete IR. Представители последней согласились, потому что не считают доказанной связь между российскими хакерами из санкционного списка и вредоносом WastedLocker.
Ни Garmin, ни Arete IR в разговоре с журналистами не опровергли информацию о том, что деньги действительно были переведены на счета хакеров, зато все сервисы Garmin вновь заработали после почти недельного перерыва. Для многих стало очевидно, что компания действительно пошла на столь рискованный шаг.
По мнению ведущего специалиста по компьютерной криминалистике Group-IB Олега Скулкина, у Garmin не осталось иного выхода. Выстраивать инфраструктуру практически с нуля — крайне долгий и дорогостоящий процесс.
Нужно понимать, что атаки на компании такой величины тщательно спланированы — разумеется, даже если резервные копии и существовали, они были уничтожены атакующими в ходе компрометации сетевой инфраструктуры, это довольно типичный сценарий для подобных инцидентов
Тем не менее выплата выкупа не означает, что компания навсегда застрахована от посягательств опасных хакеров. Ей предстоит много сделать для защиты данных, ведь атакующие могут ударить вновь, и с еще большим напором.
«Garmin придется многое поменять, особенно в части информационной безопасности, причем в кратчайшие сроки, или они рискуют повторить судьбу Toll Group, которая была успешно атакована операторами вымогателей дважды за полгода», — поясняет Скулкин в беседе с «Лентой.ру».
Почему монополии опасны
Случай Garmin доказывает значимость существования нескольких игроков на различных рынках ИТ-сферы и возможный вред от ее монополизации. Опасность монопольного положения компании на рынке цифровых услуг очевидна: если хакеры взломают инфраструктуру подобной компании, последствия могут быть фатальными как для пользователей, так и для бизнеса и экономики в целом.
Garmin не занимает монопольного положения на рынке, хотя и владеет крупной долей. Однако несложно представить, что могло бы произойти при других обстоятельствах — например, если бы «упали» сервисы для обеспечения безопасности транспорта или другой инфраструктуры, требующих обмена большими объемами информации.
Ситуация показала, что эффективная борьба с киберпреступностью — дело мирового значения. В идеале она требует объединения бизнеса и государства как равно заинтересованных субъектов. По мнению Скулкина, власти имеют возможность помочь бизнесу защититься от подобных киберугроз на законодательном уровне.
«Законодательные меры могли бы обязать компании поддерживать необходимый уровень защиты, а также сертифицировать специалистов по информационной безопасности. При этом очень важно, чтобы такая сертификация была направлена на практические знания, — только такой подход позволит по-настоящему защититься», — уверен специалист Group-IB.
Впрочем, руководство компании тоже должно заботиться о защите собственной инфраструктуры. В разговоре с «Лентой.ру» Скулкин назвал два главных критерия для противостояния кибератакам: качественные средства обеспечения информационной безопасности и квалифицированный персонал, который «сможет полноценно со всеми этими средствами работать».