Хакеры парализовали работу СДЭК. Кто атаковал крупнейшего доставщика России и как этому порадовались на Украине?
Хакерская группировка Head Mare взяла на себя ответственность за атаку на СДЭК
Вениамин Лыков (редактор отдела «Интернет и СМИ»)
Хакерская атака на компанию СДЭК парализовала ее работу на несколько дней. Сервисы компании остаются недоступными для пользователей с вечера воскресенья, 26 мая. Когда их удастся починить — неизвестно. Ответственность за атаку на себя взяла малоизвестная группировка Head Mare, однако профильные эксперты считают, что за выводом из строя огромной компании могут стоять другие люди. Кто мог взломать СДЭК и чем атака способна навредить обычным россиянам, разбиралась «Лента.ру».
Хакерская группировка Head Mare, которая утверждает, что именно она стоит за атакой на компанию, описала случившееся на своей странице в X (ранее — Twitter) с долей издевки над департаментом информационной безопасности СДЭК. В частности, представитель Head Mare заявил, что «криворукие админы с маленькой зарплатой делали бэкап раз в полгода» (как правило, в крупных компаниях резервные копии делают от нескольких раз в час до нескольких раз в месяц — прим. «Ленты.ру»). Они также заявили, что системные администраторы СДЭК «оказались слишком слабы», а политики безопасности «не оправдали себя».
При этом утверждается, что резервные копии данных были полностью уничтожены из-за действий вируса-шифровальщика. Никакого выкупа киберпреступники не потребовали.
Head Mare могут лукавить в деталях
Опрошенные «Лентой.ру» эксперты усомнились в справедливости заявления о том, что в СДЭК делали бэкапы всего раз в полгода. Специалист по информационной безопасности (ИБ) компании «Код безопасности» Мария Фесенко отметила, что в компании со зрелыми ИБ-департаментами резервное копирование выполняется автоматически. Например, нередко отдельные изменения базы данных резервируются каждые 15 минут, а полное копирование происходит раз в месяц.
«Такая компания, как СДЭК, наверняка делает бэкапы регулярно и хранит их на отдельных мощностях, поэтому шифровальщик не должен был до них добраться. Однако перенастройка IT-инфраструктуры требует времени. К тому же необходимо удостовериться, что злоумышленники еще не находятся внутри организации и ими не затронуты другие системы», — сказала Фесенко.
СДЭК обещал решить проблему, но не смог
Первые сведения о проблемах у СДЭК появились в воскресенье, 26 мая. В результате масштабного сбоя, коснувшегося почти всех систем, у пользователей перестал открываться сайт компании, личные кабинеты стали недоступны. Кроме того, сотрудники пунктов выдачи заказов (ПВЗ) не могли выдавать и принимать посылки.
«Вследствие технического сбоя в настоящее время не работают приложение и сайт СДЭК, также невозможны прием и выдача отправлений на ПВЗ. В данный момент мы работаем над восстановлением работоспособности наших сервисов», — заявили представители СДЭК в Telegram-канале компании.
После этого в СДЭК объяснили приостановку выдачи заказов желанием избежать ошибок при их ручной обработке. В компании пообещали, что работа сервисов будет восстановлена со вторника, 28 мая, однако этого не произошло. Позднее в СДЭК признали, что в течение понедельника «значительно продвинулись в восстановлении полноценной работы», но «оказались не готовы возобновить обслуживание».
Во вторник, 28 мая, в СДЭК снова пообещали устранить последствия сбоя на следующий день, 29 мая. При этом официально компания не подтверждает версию об атаке вирусов-шифровальщиков. В беседе с «Ведомостями» представитель СДЭК заявил, что компания рассматривает несколько версий случившегося, однако публично озвучивать их не готова.
Источники Telegram-канала Shot в СДЭК менее оптимистичны в прогнозах. По их данным, на восстановление работоспособности сервисов может уйти до трех-пяти дней. Приоритетом они называют возобновление работы ПВЗ.
Чего стоит опасаться простым россиянам
В случае если СДЭК действительно взломали, базы данных компании могли быть выгружены злоумышленниками. Какие именно и есть ли в них персональные данные пользователей, пока непонятно. В «Коде безопасности» отмечают, что многое зависит от того, какое именно вредоносное ПО применялось. По словам Фесенко, существуют вирусы, которые лишь шифруют данные, но не крадут их.
«Если эти базы данных не нужны злоумышленникам для дальнейших атак, тех же фишинговых кампаний, или не ликвидны для продажи — они их обязательно выложат на всеобщее обозрение в ближайшее время, чтобы нанести еще больший ущерб компании», — добавил главный редактор портала Cyber Media Валерий Иванов.
В «Коде безопасности» рекомендовали клиентам СДЭК в любом случае провести профилактику безопасности: поменять пароли во всех используемых сервисах, сделав их сложными (13 и более знаков, с буквами, цифрами и спецсимволами). Также стоит установить двухфакторную аутентификацию там, где ее до сих пор по какой-то причине не было.
Head Mare и раньше атаковали российские компании
В аккаунте Head Mare в X, зарегистрированном в декабре 2023 года, есть утверждения и о других атаках на российские организации. Сначала киберпреступники опубликовали несколько скриншотов, якобы имеющих отношение к внутреннему документообороту компании «Уралвагонзавод». Тогда заявлялось, что в общей сложности в распоряжении хакеров оказались 32 тысячи файлов.
Затем в Head Mare объявили о взломе компании «Русснефть», приведя еще несколько скриншотов. Суммарно речь шла о якобы украденных 857 тысячах документов. При этом хакеры заявили, что служба безопасности организации следит за своими сотрудниками, оценивая их политические взгляды.
«Добытые материалы переданы для отработки в соответствующие органы и дополнят доказательную базу будущих судебных процессов против России и предателей», — написал представитель группировки, не уточнив, о каких предателях и о каких органах идет речь.
Следом под удар, как утверждают хакеры, попали российский разработчик программного обеспечения «Галактика», НПО «Высокоточные системы и технологии», ФГАУ «Управление имуществом специальных проектов» Министерство обороны России и краснодарский интернет-провайдер «Телецентр».
В ранних сообщениях представитель Head Mare называет объединение международной хактивистской группировкой. На это указывает также то, что у Head Mare нет аккаунтов на крупных русскоязычных площадках, посвященных киберпреступности. При этом, по данным «Ленты.ру», отсутствие требования выкупа за расшифровку данных вполне соответствует последним трендам хактивизма, приверженцы которого постепенно отходят от организации DDoS-атак против своих жертв в сторону заражения их вредоносным ПО с целью нанесения максимального ущерба и простоя инфраструктуры.
Что такое хактивизм
Хактивизм — международное течение и целая философия, подразумевающая продвижение различных базовых ценностей (например, свободы слова или прав человека) с помощью киберпреступной деятельности. Подвид хактивизма — похищение секретной информации, которая потенциально проливает свет на незаконные действия властей тех или иных государств. В широком смысле хактивистами являются Эдвард Сноуден и Джулиан Ассанж.
«Так как нет информации о финансовой мотивации, скорее всего, она политическая. СДЭК стал целью с первых дней специальной военной операции, поскольку его офисы большинство хактивистов могли увидеть буквально в окно. Сомневаюсь что это APT-группа. Вполне вероятно, что Head Mare — это просто канал для публикации сведений об инциденте, а реальные исполнители не хотят привлекать к себе лишнее внимание», — предположил Иванов.
Некоторые пользователи одобрили атаку на СДЭК
На русскоязычных даркнет-площадках предположили, что атака могла стать следствием внутреннего конфликта в СДЭК с последующей публикацией способов доступа к внутренним системам в узкоспециализированных сообществах. При этом наиболее вероятным инструментом исполнения атаки называется вредоносное ПО Babuk.
Однако на скриншотах, опубликованных Head Mare видно, что у части файлов иконка заменена на логотип группировки LockBit, что указывает на применение именно их вредоноса
Сами хакеры из LockBit могут быть не причастны к взлому: во-первых, они всегда требуют выкуп, а во-вторых, последняя версия их ПО сама стала достоянием даркнет-общественности, из-за чего ее применяют многие киберпреступники по всему миру.
Публикацию Head Mare об атаке на СДЭК лаконично прокомментировал аккаунт Инфовойск Украины, написав: «Отлично». Популярный Telegram-канал «Двач» обратил внимание на сообщения еще одного пользователя с ником UniHorny. Судя по приведенным скриншотам его аккаунта, он является сотрудником СДЭК. В своих комментариях под первоначальным постом Head Mare он согласился с тем, что «бить по гражданской инфраструктуре — нормальный военный ход».
Позднее он закрыл доступ к своей странице, удалил последние комментарии, а также сменил имя пользователя на нецензурное. В СДЭК онлайн-активность своего предполагаемого сотрудника пока официально не прокомментировали.