Краят на миналата и началото на тази година бяха маркирани от два големи инцидента в областта на киберсигурността – мистериозната атака към клиентите на SolarWinds Orion и ProxyLogon – серията от непокрити уязвимости в Microsoft Exchange, атакувани от множество киберпрестъпни и APT (Advanced Persistent Threat) групи. Тенденцията за компрометирането на мрежите на големи организации продължи и през февруари и март тази година, когато ползващите водещото, но вече неподдържано FTA (File Transfer Appliance) приложение на американската компания Accellion бяха атакувани чрез няколко уязвимости в програмата.
„FTA софтуерът на Accellion е 20-годишен неподдържан продукт. За последните три години, Accellion прави опити да накара настоящите потребители на FTA системата да мигрират към нашата модерна и по-защитена платформа Kiteworks“, написаха от компанията в края на февруари, анонсирайки официално края на жизнения цикъл на системата.
Три години са наистина доста време за използването на остарял продукт с връзка към Интернет. В този смисъл, звучи обезкуражително, че компания за киберсигурност, като Qualys е станала жертва на тези атаки. Същото се случва със сингапурската телекомуникационна компания Singtel, мрежата на властите във Вашингтон, централната банка на Нова Зеландия, австралийската Комисия по ценните книжа и инвестициите, голямата адвокатска кантора „Джоунс Дей“, веригата магазини „Крьогер“, авиопроизводителят Bombardier и още неизвестен брой жертви. Последната, за която разбираме от репортаж на Threat Post са петролния гигант Royal Dutch Shell.
Самите атаки започват през миналата година. В края на декември са първите към неизвестна до този момент уязвимост в платформата. За по-малко от седмица, Accellion издават кръпка за нея, но скоро биват атакувани още няколко слабости в FTA платформата – репортаж на FireEye говори за четири уязвимости. Самите атаки преследват финансова изгода, като се провеждат основно от две големи групи – тази, разпространяваща рансъмуер заплахата с името CLOP, както и неидентифицирана преди киберпрестъпна група. Общото между тях е, че те използват въпросните слабости, за да откраднат чувствителни данни на компанията, след което да я изнудват да плати откуп, за да не ги публикуват. В случая на CLOP, след кражбата бива доставен рансъмуер към мрежата на жертвата и информацията в нея бива криптирана. Някои от жертвите на атаките обвиняват Accellion, че не са били уведомени своевременно от компанията за издадените обновления и както съобщават от WIRED, компанията вече е станала обект на няколко заведени дела.
„Shell е засегнат от инцидент, свързан със сигурността, включващ Accellion FTA. Компанията ни използва приложението за защитен трансфер на големи информационни файлове“, гласи краткото съобщение от страна на Shell. От компанията поясняват, че неизвестна засега страна е достигнала различни файлове, които съдържат лична и корпоративна информация на Shell и някои от акционерите им.
