როგორ დაჰაკეს დელოიტი

კომპანია დელოიტი, რომელიც მსოფლიოს 4 ყველაზე დიდ (ე.წ. Big Four) აუდიტორულ კომპანიებს შორისაა და მხოლოდ 2016 წელს 37 მილიარდი დოლარის შემოსავალი მიიღო, ჰაკერების მსხვერპლი გახდა. დელოიტი ფინანსური, IT და უსაფრთხოების აუდიტისა და კონსალტინგით ემსახურება მსოფლიოს უმდიდრეს ბანკებს, საერთაშორისო კორპორაციებსა და სამთავრობო სექტორს. ბუნებრივია, ასეთი კომპანიის მეილებსა და კონფიდენციალურ მიმოწერებს კლიენტებთან, უაღრესად კრიტიკული მნიშვნელობა აქვს.

პირველად განცხადება დაჰაკვირს შესახებ The Guardian-მა გამოაქვეყნა და მწირი ინფორმაციაც მოაყოლა: ჰაკერებმა გატეხეს ადმინისტრატორის პროფილი და სისტემაში გლობალური მეილ სერვერის დახმარებით შეაღწიეს. ივარაუდება, რომ ადმინისტრატორის პროფილის მეშვეობით ჰაკერებს შეუზღუდავი წვდომა ჰქონდათ როგორც მეილ სერვერზე, ისე Microsoft Azure ღრუბლოვან სერვისზე, სადაც დელოიტი მისი თანამშრომლების მიერ გაგზავნილ და მიღებულ იმეილებს ინახავს. განცხადების თანახმად, ადმინისტრატორის პროფილი დაცული იყო მხოლოდ პაროლის მეშვეობით და არ იყო გააქტიურებული 2-ფაქტორიანი აუთენთიფიკაცია, რომელიც დამატებით უსაფრთხოებას უზრუნველყოფდა.

აქვე უნდა აღინიშნოს, რომ დელოიტი თავად ახდენს ინფორმაციული უსაფრთხოების შესახებ კონსულტაციების გაწევას, ერთ-ერთ ყველაზე დაცულ კომპანიად ითვლება და ამ სფეროდან მილიარდობით შემოსავალიც აქვს. თუმცა თუ იმას გავითვალისწინებთ, რომ მისი თანამშრომლების რაოდენობა 250,000-ზე მეტია, სტატისტიკურად ჰაკერების სისტემაში შეღწევა მოულოდნელი სულაც არ იყო.

დელოიტმა დაადასტურა შეტევა და ისიც აღნიშნა, რომ ჰაკერები სისტემაში 2016 წლის ოქტომბერ-ნოემბრიდან იყვნენ, ხოლო მათი შემოჭრა კომპანიამ მხოლოდ 2017 წლის მარტში აღმოაჩინა და დაუკავშირდა კიდეც დაზარალებულ 6 კომპანიას. თუმცა არ არის ცნობილი კონკრეტულად როდის დაუკავშირდა დელოიტი ამ კომპანიებს.

ოფიციალური განცხადების თანახმად, რომელიც მიმდინარე წლის 6 ოქტომბერს გამოქვეყნდა, დელოიტმა ჰაკერების სისტემაში შეღწევის შესახებ ინფორმაციის მიღებისთანავე დაიწყო აქტიური მოქმედებები კიბერ ინციდენტის გამოსაძიებლად და ზიანის შესახებ რეალური სურათის მისაღებად. კიბერუსაფრთხოების გუნდმა შეაჩერა შეტევა, ლოგების ანალიზით დაადგინეს თუ კონკრეტულად რას აკეთებდნენ ჰაკერები, რომელი კომპანიების მეილებზე არსებულ ინფორმაციებს გაეცვნენ, შეატყობინეს ამ კომპანიებს შეტევის შესახებ და საბოლოოდ, დანერგეს 2-ფაქტორიანი აუთენთიფიკაცია (საინტერესოა, რომ მიუხედავად უამრავი შემთხვევისა, კომპანიები ჭკუას ვერ სწავლობენ სხვის მაგალითზე და ჰგონიათ, რომ მსგავსი რამ მათ არ მოუვათ. შესაბამისად ზოგავენ თანხებს უსაფრთხოებაზე და მხოლოდ მაშინ მოეგებიან ხოლმე გონს, როდესაც ჰაკერები უკვე სისტემაში არიან.)

ჯერ კიდევ 2016 წლის 13 ოქტომბერს დელოიტმა დააგზავნა მეილი, რომელიც კლიენტებს ავალდებულებდა შეეცვალათ პაროლი და 4 დღეს აძლევდა ვადას.

ანონიმური წყაროს ინფორმაციით, დელოიტმა შეტევის შესახებ ინფორმაცია მაქსიმალურად დამალა, არ შეატყობინა კლიენტებს რეალური სიტუაცია. სავარაუდოა, რომ ჰაკის შესახებ რეალური სურათი თავად კომპანიასაც არ ჰქონდა, ამიტომ აირჩია მცდარი მიდგომა და მხოლოდ პაროლების შეცვლის შესახებ განცხადების გავრცელებით შემოიფარგლა.

მარტში კი აღმოჩნდა, რომ ჰაკერების მიერ დაუფლებული იმეილების რაოდენობა ფრიად სერიოზული იყო – ბოლოს და ბოლოს, ჰაკერებს წვდომა ჰქონდათ იმეილების მთლიან ბაზაზე და ყველა ადმინისტრატორის ექაუნთზე.

იგივე წყაროს ინფორმაციით, ინციდენტის გამოძიების ჯგუფმა დაადგინა, რომ ჰაკერებს სრული წვდომა ჰქონდათ ქსელში. დელოიტის გუნდმა ბოლომდე ვერ გაარკვია თუ რა რაოდენობის ინფორმაციის წაღება მოახერხეს კიბერ კრიმინალებმა, თუმცა სავარაუდო მოცულობად რამდენიმე გიგაბაიტი დასახელდა.

დამოუკიდებელი ექსპერტებისა და მოყვარულების დელოიტზე შეტევის დაინტერესების შედეგად, არაერთი მნიშვნელოვანი დეტალიც გახდა ცნობილი, რომლებიც იძლევა ვარაუდის საშუალებას, რომ მიყენებული ზიანი და ჰაკერების მიერ მოპოვებული ინფორმაცია არც ისე მცირეა, როგორც ეს კომპანიას სურს რომ წარმოაჩინოს.

19 სექტემბერს Github-ის ფაბლიქ რეპოზიტორიაში იპოვნეს დელოიტის კორპორატიული VPN-ს პაროლები, იუზერნეიმები და ტექნიკური დეტალები. (ახლა წაშლილია).

ასევე აღმოჩნდა, რომ კომპანიის თანამშრომელს თავის საკუთარ Google+ გვერდზე აუტვირთავს კომპანიის პროქსის იუზერნეიმი და პაროლი, რაც 6 თვე იდო ხელუხლებლად და მხოლოდ ახლახან წაშალეს.

გარდა ამისა, „დელოიტს“ ათასობით შიდა კრიტიკულ სისტემებზე გახსნილი ჰქონია remote-desktop წვდომა. აი ერთ-ერთი Active Directory-ის  სურათი რომელიც სადაც კომპანიას RDP აქვს ღია და რომელიც Dan Tentler-მა იპოვა თავდაპირველად:

 

 

 

 

 

 

.ამ სკრინშოტზე ჩანს ადმინისტრატორის პროფილები და თუ კარგად დავაკვირდებით, იმასაც ვნახავთ რომ ვინდოუსის სისტემა დააფდეითებული არ არის:

მსგავსი ინფორმაციები shodan-ის საძიებო სისტემაში მრავლად მოიპოვება კომპანიის შესახებ.

ზემოაღნიშნული ელემენტარული შეცდომების შესახებ ინფორმაციის გავრცელება, წესით უხერხულ მდგომარეობაში უნდა აყენებდეს ანალიტიკურ კომპანია Gartner-საც, რომელმაც ზედიზედ მეხუთედ დაასახელა დელოიტი საუკეთესო კონსულტანტად IT უსაფრთხოების საკითხებში.

უახლოესი კვირები გვიჩვენებს, რა ფინანსური რესურსი დაეხარჯება აღნიშნული შეტევის გამო დელოიტს, თუმცა აქედანვე შეიძლება ითქვას, რომ კონფიდენციალური და საიდუმლო ინფორმაციის გაჟონვით მიყენებული ზარალის ანაზღაურება კომპანიებისთვის არც ისე ცოტა დაუჯდება. მნიშვნელოვანია დელოიტის მიერ განცდილი რეპუტაციული ზიანიც.

გთავაზობთ რამდენიმე ექსპერტის აზრს:

ZoneFox-ის CEO-ს ჯეიმი გრეივსის თქმით, პაროლები ჯერ კიდევ მნიშვნელოვან როლს ასრულებენ უსაფრთხოებაში და ვინაიდან მათი მოპოვების მაღალი რისკი არსებობს, ორ ან მრავალ დონიანი აუთენთიფიკაციის აუცილებლობა არსებითად კრიტიკული ხდება. ასევე ფირმებს უნდა ჰქონდეთ თანამედროვე დაცვის სისტემები და მუდმივად იცოდნენ ვინ საიდან შედის, როდის და კონკრეტულად რა რესურსებს ნახულობენ. ყველა საეჭვო ქმედებაზე ან მისამართზე კი შესაბამისი შეტყობინება უნდა ვარდებოდეს, რომ ჰაკერების შეჭრა კომპანიამ ნახევარი წლის შემდეგ არ გაიგოს.

Cybereason-ის CSO-ს სემ კიურის თქმით, ნებისმიერი კომპანია შეიძლება გახდეს ჰაკერების მსხვერპლი და ქვების სროლა საჭირო არ არის. ჰაკერებს აქვთ მნიშვნელოვანი უპირატესობა – ისინი საკმარისია ერთხელ აღმოჩნდნენ სწორნი, რომ სისტემის გატეხვა რეალური გახდეს, მაშინ როდესაც კომპანიას უწევს არასდროს დაუშვას შეცდომა წლების განმავლობაში, რაც პრაქტიკულად შეუძლებელია, განსაკუთრებით დიდი კომპანიებისთვის.

Blancco Technology Group-ის CSO-ს რიჩარდ სტინონის განცხადებით, დროა იმეილებმა კომპანიის პრიორიტეტების სიაში ზევით გადაინაცვლონ. ჯანმრთელობისა და ფინანსური ინფორმაციები როგორც წესი პირველ ადგილზე დგას ბევრ კომპანიაში, მაგრამ არ უნდა დაგვავიწყდეს რომ იმეილების მეშვეობით კომპანიისთვის უმნიშვნელოვანესი ინფორმაციის მიმოცვლა ხდება, რაც არანაკლებ კრიტიკულია.

SecureAuth-ის ინფორმაციული უსაფრთხოების მთავარი არქიტექტორის სტივენ კოქსის განცხადებით, დელოიტის დაჰაკვა აჩვენებს რომ ადმინისტრატორთა საიდენტიფიკაციო მონაცემები ინფორმაციული უსაფრთხოების ცენტრში დგას. მრავალი ფილიალის მქონე კომპანიებს, ინფორმაცია ხშირად აქვთ განთავსებული ღრუბლოვან სერვისებზე და იყენებენ მრავალი დაცვის სისტემას, მაგრამ მთავარი მაინც ის მონაცემებია, რომლებიც ამ სისტემებზე წვდომის საშუალებას იძლევა.