Найбільша IT-компанія України стала жертвою кібератаки: що пішло не так

Основна діяльність SoftServe — розробка сервісного програмного забезпечення, передусім для фінансової сфери та електронної комерції. Компанія працює з 1996 року, її головні офіси розташовані у Львові й Остіні (штат Техас, США).

Інформація про кібератаку на SoftServe з’явилася 1 вересня. Хакери начебто отримали доступ до інфраструктури компанії; частину сервісів SoftServe був змушений відімкнути, щоб діяльність компанії не постраждала повністю.

Того ж дня представник старший віцепрезидент SoftServe із питань ІТ Адріян Павлікевич підтвердив факт кібератаки, але запевнив, що до значних наслідків вона не призвела: «Із найбільш суттєвих наслідків атаки — тимчасова втрата працездатності частини поштової системи й зупинка частини допоміжних тестових середовищ».

Через два дні на одному з Telegram-каналів, які викладають злиті дані, були оприлюднені архіви з програмним кодом SoftServe — на це вказували рядки програмного коду в окремих файлах. Як зазначає AIN.UA, канал, де з’явилися злиті дані, веде хакер із Російської Федерації. У ньому понад 15 тисяч підписників.

Ще одна хвиля злитих файлів на тому ж каналі з’явилася 16 вересня. В архівах містилася інформація про продукти SoftServe — фінансово-технічний проєкт Digital Banking, антивірус Cylance і внутрішню CRM-систему. Ще один архів містив скан-копії документів співробітників компанії, прізвища яких починалися на літери A-D. Серед них були й іноземці.

Копії документів із особистими даними про співробітників SoftServe

Копії документів із особистими даними про співробітників SoftServe

Приклад програмного коду зі згадкою про SoftServe

На обидва зливи даних SoftServe реагував приблизно однаково: заявив, що вони стали наслідком однієї й тієї ж кібератаки від 1 вересня. «Це поширена тактика в подібних випадках, мета якої — залякати, щоб вимагати викуп», — пояснили свою позицію в SoftServe у коментарі AIN.UA.

Чи була серед злитих у мережу даних інформація про клієнтів — точно поки невідомо. Інтернет-ресурс ebanoe.it проаналізував злиті дані й стверджує, що ситуація з кібератакою на SoftServe набагато серйозніша, ніж про це заявляє компанія. Серед іншого, зловмисники могли отримати доступ до серверів таких компаній, як IBM, Microsoft, Panasonic, Deutsche Bank тощо - всі вони користувалися сервісами SoftServe.

Пізніше ebanoe.it заявив, що на сайт здійснили DDoS-атаку, і звинуватив у цьому SoftServe. Компанія ж, своєю чергою, заперечила ці звинувачення і заявила про інформаційну атаку проти себе.

Кібератаку, найімовірніше, здійснили через вразливість у програмі-кастомізаторі робочого столу для Windows Rainmeter, передає Bleeping Computer. Під час кібератаки програма підвантажила заражений файл, яким користується Rainmeter для налаштувань, чим дала зловмисникам доступ до комп’ютерів. У SoftServe зазначили, що «нині антивіруси майже не визначають таку технологію кібератаки».

Фахівець із кібербезпеки Єгор Папишев вважає, що кібератаку на SoftServe могли здійснити або на замовлення фірми-конкурента (щоб завдати репутаційного удару), або ж з ініціативи групи кіберкриміналу задля матеріальної вигоди.

«Судячи з наслідків атаки, в захисті були допущені прогалини. Думаю, співробітникам було про це відомо, і кібератака була чимось очікуваним, враховуючи розходження з прийнятими в індустрії кібербезпеки підходами до захисту корпоративних інформаційних активів», — додає він.

Кібераналітик Сергій Харюк зауважує інший аспект ситуації: співробітники SoftServe (як нинішні, так і колишні), чиї особисті дані опинилися у відкритому доступі, навряд чи зможуть захистити свої права. «Коли в нас у країні витікають персональні дані громадян, ніхто на це не реагує. А було б непогано, бо співробітникам принаймні не заважало б змінити свої паспорти, в деяких є копії віз», — пояснює він.