Воскресным вечером 26 мая 2024 года на сервисы компании «СДЭК» была произведена мощная хакерская атака, парализовавшая её работу на всей территории России. В результате сбоя в работе вычислительных мощностей не работали приложение и сайт логистического оператора. Были приостановлены приём и выдача отправлений в пунктах выдачи заказов.
29 мая СДЭК сообщил, что его сайт частично возобновил работу после сбоя. В тот же день пункты выдачи заказов СДЭК начали выдавать отправления клиентам. 31 мая компания сообщила о восстановлении функции отслеживания посылок на сайте, а также о возобновлении с 1 июня приема отправлений.
Ответственность за атаку на себя взяла малоизвестная группировка «Head Mare», однако профильные эксперты считают, что за выводом из строя огромной компании могут стоять другие люди.
Потому что худшая доставка
Хакерская группировка «Head Mare», которая утверждает, что именно она стоит за атакой на компанию, описала случившееся на своей странице в «Х» (бывший «Twitter») с долей издевки над департаментом информационной безопасности СДЭК. Представитель «Head Mare» заявил, что «криворукие админы с маленькой зарплатой делали бэкап раз в полгода» (обычно в крупных компаниях резервные копии делают от нескольких раз в час до нескольких раз в месяц). Хакеры заявили, что системные администраторы СДЭК «оказались слишком слабы», а политика безопасности «не оправдали себя». Злоумышленники заявили, что резервные копии данных были полностью уничтожены из-за действий вируса-шифровальщика. Никакого выкупа киберпреступники не потребовали.
Многие эксперты усомнились в объективности заявления о том, что в СДЭК делали бэкапы всего раз в полгода. Специалисты по информационной безопасности компании «Код безопасности» отметили, что в фирмах со зрелыми департаментами информационной безопасности резервное копирование выполняется автоматически. Часто отдельные изменения базы данных резервируются каждые 15 минут, а полное копирование происходит раз в месяц.
По их словам, СДЭК наверняка делал бэкапы регулярно и хранил их на отдельных мощностях, поэтому шифровальщик не должен был до них добраться. Однако был нанесён серьёзный удар по IT-инфраструктуре, которая требует времени для перенастройки. Специалистам в таких инцидентах необходимо удостовериться, что злоумышленники всё ещё не находятся внутри организации и ими не затронуты другие системы.
Опасности для простых россиян
В случае взлома СДЭК базы данных компании могли быть выгружены злоумышленниками. Какие именно и есть ли в них персональные данные пользователей, публично не озвучивается. В «Коде безопасности» отмечают, что многое зависит от того, какое именно вредоносное ПО применялось — есть вирусы, которые лишь шифруют данные, но не крадут их. Современные вирусы-вымогатели, как правило, делают и то, и другое, поэтому данные пользователей СДЭК — e-mail, номер телефона и прочие, могут быть использованы хакерами для мошеннических схем и попыток взлома популярных цифровых сервисов.
«Если эти базы данных не нужны злоумышленникам для дальнейших атак, тех же фишинговых кампаний, или не ликвидны для продажи — они их обязательно выложат на всеобщее обозрение в ближайшее время, чтобы нанести еще больший ущерб компании», — прокомментировал происшествие главный редактор портала «Cyber Media» Валерий Иванов.
В самой пострадавшей компании рекомендовали клиентам провести профилактику безопасности: поменять пароли во всех используемых сервисах, сделав их сложными (13 и более знаков, с буквами, цифрами и спецсимволами). Также эффективно устанавливать двухфакторную аутентификацию там, где ее до сих пор по какой-то причине не было.
Заявления сетевых разбойников
В аккаунте «Head Mare» в «X», который был зарегистрирован в декабре 2023 года, есть заявления и о других атаках на российские организации. Сначала киберпреступники выложили несколько скриншотов, якобы имеющих отношение к внутреннему документообороту компании «Уралвагонзавод». Тогда заявлялось, что в общей сложности в распоряжении хакеров оказались 32 тысячи файлов.
Позднее в «Head Mare» объявили о взломе компании «Русснефть», приложив ещё несколько скриншотов. Речь шла о якобы украденных 857 тысячах документов. При этом хакеры заявили, что служба безопасности организации следит за своими сотрудниками, оценивая их политические взгляды.
«Добытые материалы переданы для отработки в соответствующие органы и дополнят доказательную базу будущих судебных процессов против России и предателей», — говорил представитель группировки, при этом не уточнив, о каких предателях и о каких органах идет речь.
Как утверждают хакеры, под их атаки попали российский разработчик программного обеспечения «Галактика», НПО «Высокоточные системы и технологии», ФГАУ «Управление имуществом специальных проектов» Министерство обороны России и краснодарский интернет-провайдер «Телецентр».
В ранних сообщениях представитель «Head Mare» называет объединение международной хактивистской группировкой. На это указывает также то, что у «Head Mare» нет аккаунтов на крупных русскоязычных площадках, посвященных киберпреступности. При этом отсутствие требования выкупа за расшифровку данных вполне соответствует последним трендам хактивизма, сторонники которого постепенно отходят от организации DDoS-атак против своих жертв в сторону заражения их вредоносным ПО с целью нанесения максимального ущерба и простоя инфраструктуры.
Ничего не известно о финансовой мотивации преступников и, скорее всего, она политическая. СДЭК стал целью с первых дней СВО, так как является крупнейшим логистическим оператором России.
Специалисты по безопасности допускают, что «Head Mare» — это просто канал для публикации сведений об инциденте, а реальные исполнители хотят оставаться в тени.
Некоторым понравилось
На русскоязычных даркнет-площадках предположили, что атака могла стать следствием внутреннего конфликта в СДЭК с последующей публикацией способов доступа к внутренним системам в узкоспециализированных сообществах. При этом наиболее вероятным инструментом исполнения атаки называется вредоносное ПО «Babuk».
Хакеры из группировки «LockBit» могут быть не причастны к взлому: во-первых, они всегда требуют выкуп, а во-вторых, последняя версия их ПО сама стала достоянием даркнет-общественности, из-за чего ее применяют многие киберпреступники по всему миру.
Публикацию «Head Mare» об атаке на СДЭК лаконично прокомментировал аккаунт «Инфовойск Украины», написав: «Отлично». Популярный ТГ-канал «Двач» обратил внимание на сообщения еще одного пользователя с ником «UniHorny». Судя по приведенным скриншотам его аккаунта, он является сотрудником СДЭК. В своих комментариях под первоначальным постом «Head Mare» он согласился с тем, что «бить по гражданской инфраструктуре — нормальный военный ход».
Потом он закрыл доступ к своей странице, удалил последние комментарии, а также сменил имя пользователя на нецензурное.
Что в итоге
Двухнедельный срыв работы одной из крупнейших логистических компаний страны по причине сетевой уязвимости — это реальный факт, который нельзя отрицать. Очевидно и то, что западные спецслужбы, напрямую, либо через украинские «прокладки» уже давно и активно ведут атаки на ключевые объекты российской цифровой инфраструктуры. Россия давно имеет дело не с отдельными преступниками, а с противостоящими ей спецслужбами, государствами и международными компьютерными корпорациями, которые вполне официально объявили Россию своим главным противником.
Судьба баз данных, если они действительно были украдены, зависит от того, кто это сделал. Если имел место чистый криминал или воровство со стороны сотрудников, то данные просто сольют для продажи в даркнет. В таком случае, скорее всего, клиентам стоит ждать свежий поток спама самого разнообразного содержания. А если к диверсии приложили руку иностранные спецслужбы, то украденная информация может быть использована куда более интересными способами.