Secretul din spatele celui mai mare atac cibernetic: angajații știau de câțiva ani

de: Cojocaru Cristian
12 07. 2021

Angajații companiei care a suferit cel mai mare atac cibernetic au menționat că știau despre breșele de securitate ale software-ului său. Aceștia au avut de-a face cu concedieri după ce au dat alarma cu privire la practicile de securitate ale companiei.

Foști muncitori au declarat pentru Bloomberg că știau despre aceste defecte de securitate. Acum, Kaseya se află în centrul unui atac ransomware masiv care a înglobat peste 1.000 de companii din întreaga lume.

Între 2017 și 2020, angajații au raportat superiorilor lor „preocupări de securitate cibernetică largă”, susținând că firma a folosit codul învechit, a implementat o criptare slabă și nu a corectat în mod obișnuit software-ul și serverele sale, relatează Bloomberg. Cei cinci foști angajați au vorbit sub condiția anonimatului deoarece au semnat acorduri de nedivulgare.

Doi foști angajați au spus că i-au avertizat pe executivi cu privire la vulnerabilitățile software-ului său vechi, sistemul pe care hackerii l-au deturnat pentru a lansa acest ultim atac. Clienții Kaseya, companii cunoscute sub numele de furnizori de servicii gestionate sau MSP, furnizează servicii IT la distanță pentru sute de companii mai mici și utilizează servere VSA pentru a gestiona și a trimite actualizări de software către acești clienți.

Conform rapoartelor inițiale, hackerii au obținut acces la infrastructura backend-ului Kaseya pentru a trimite programe malware deghizate sub forma unei actualizări de software către serverele VSA care rulează la sediul clientului. De acolo, au folosit actualizarea rău intenționată pentru a instala ransomware pe fiecare stație de lucru conectată la sistemele VSA. Grupul de răscumpărare REvil, legat de Rusia, și-a luat meritul pentru acest atac și cere o răscumpărare de 70 de milioane de dolari pentru a debloca toate computerele afectate.

Breșele de securitate cunoscute în cazul celui mai mare atac cibernetic

Un fost angajat a afirmat că în 2019 a trimis superiorilor o notă de 40 de pagini, în care își prezenta preocupările legate de securitate. El a fost concediat două săptămâni mai târziu, o decizie pe care el crede că este legată de aceste eforturi. Un alt fost angajat a susținut că Kaseya a stocat parolele clienților necriptate pe platforme terțe și rareori a aplicat software-ul sau serverele sale.

Când compania a început să concedieze angajați în 2018 pentru a-și externaliza locurile de muncă în Belarus, patru dintre cei cinci muncitori cu care a vorbit Bloomberg au spus că au văzut această decizie ca un potențial risc de securitate, având în vedere influența Rusiei asupra țării.

Software-ul Kaseya fusese chiar exploatat anterior în atacuri ransomware, cel puțin de două ori între 2018 și 2019, potrivit angajaților. În mod surprinzător, acest lucru nu a fost însă suficient pentru a-i convinge să-și regândească standardele de securitate cibernetică. Când a fost solicitat pentru comentarii despre aceste afirmații de la foștii săi angajați, Kaseya a furnizat următoarea declarație către Gizmodo:

„Kaseya se concentrează pe clienții care au fost afectați și pe persoanele care dețin date reale și încearcă să ajungă la baza lor, nu pe speculații aleatorii ale foștilor angajați sau din întreaga lume.”