Кибератака на МККК: что нам известно
Обновление: 24 июня 2022 г.
В январе мы обнаружили, что в результате сложной и тщательно спланированной кибератаки неизвестные лица получили несанкционированный доступ к серверам, на которых размещались персональные данные более чем 515 000 человек из разных стран.
Мы считаем, что МККК как гуманитарная организация, несущая ответственность перед своими партнерами и людьми, которым она помогает, должен поделиться имеющейся информацией об этом взломе.
Что мне делать, если я считаю, что к моим данным мог быть получен доступ в ходе этой кибератаки?
Если вы не получали от нас никаких сообщений, но у вас есть опасения, обратитесь в местное общество Красного Креста или Красного Полумесяца или в представительство МККК в своей стране. Список контактных данных представлен здесь. Мы также подготовили более подробный материал в формате вопросов и ответов для людей, которых затронул взлом. Мы знаем, что вы доверили нам свои персональные данные и информацию о зачастую трагических событиях вашей жизни. Это большая ответственность, и мы относимся к ней очень серьезно. Мы хотим, чтобы вы знали: мы делаем все, что в наших силах, чтобы возобновить оказание услуг, которые мы предлагаем по всему миру. Мы приложим все усилия, чтобы сохранить ваше доверие и иметь возможность и дальше вам помогать.
Ваши системы снова работают?
Да. Системы заработали вновь: это крайне важно, чтобы сотрудники Красного Креста и Красного Полумесяца по всему миру имели возможность воссоединять разлученных родственников. Системы были перезапущены после внедрения новых мер укрепления информационной безопасности, включая процесс двухфакторной аутентификации и высокотехнологичное решение для выявления угроз. Приложения и системы были запущены вновь лишь после успешного тестирования на проникновение, проведенного сторонними специалистами. Мы продолжаем тщательно следить за своими системами и вносить необходимые изменения для укрепления информационной безопасности.
Каким образом вы информируете людей, которых затронуло это нарушение безопасности?
Мы сотрудничаем с национальными обществами Красного Креста и Красного Полумесяца, а также с делегациями МККК на местах, чтобы информировать отдельных лиц и семьи, безопасность чьих данных была нарушена. Это сложный процесс, который еще продолжается: каждый случай рассматривается на основании индивидуальной оценки рисков. В частности, мы связываемся с людьми при помощи телефонных звонков, горячих линий, публичных объявлений и писем, а в некоторых случаях наши сотрудники выезжают в отдаленные районы, чтобы информировать людей лично. Мы прилагаем все усилия, чтобы связаться с теми людьми, связь с которыми может быть затруднена, например с мигрантами. Большинство людей, которых мы информировали о произошедшем, хотят, чтобы мы продолжили работу по розыску их родных. Мы знаем, какие душевные страдания причиняет безвестное исчезновение члена семьи. Мы и дальше будем делать все возможное, чтобы помочь родственникам пропавших найти ответы на мучающие их вопросы.
Почему вы утверждаете, что атака была сложной, тщательно спланированной и направленной именно на серверы МККК?
Для получения доступа к нашим системам хакеры задействовали значительные ресурсы и применили тактику, которая позволяет обойти большинство существующих средств защиты. О том, что атака была тщательно спланирована и направлена именно на наши серверы, свидетельствуют следующие факты.
- Злоумышленники использовали крайне специфический набор передовых инструментов для взлома информационных систем. Такие инструменты обычно имеются в распоряжении групп, относящихся к категории APT1*, не находятся в широком распространении и, как следствие, недоступны для других.
- Для того чтобы скрыть и защитить используемые вредоносные программы, злоумышленники использовали сложные методы маскировки. Это требует высокого уровня специфических навыков, которыми обладает ограниченное число акторов.
- Мы пришли к выводу о том, что это целенаправленная атака, поскольку злоумышленники использовали код, написанный специально для выполнения на определенных серверах МККК. В процессе атаки были использованы уникальные идентификаторы атакованных серверов (их MAC-адреса).
- На серверах были установлены средства защиты от вредоносных программ, которые смогли обнаружить и заблокировать некоторые файлы, использованные злоумышленниками. Однако большинство вредоносных файлов были специально разработаны для обхода наших систем защиты, и вторжение было обнаружено только после того, как мы установили системы обнаружения сложных угроз на конечных точках (EDR) в рамках плановой модернизации.
Когда вы узнали об этой атаке?
Специализированная компания по обеспечению кибербезопасности, привлеченная МККК для защиты информационных систем, заметила аномальную активность на серверах МККК, где размещалась информация, касающаяся всемирной программы Движения Красного Креста и Красного Полумесяца «Восстановление семейных связей». Мы начали тщательно проверять данные и 18 января определили, что хакеры проникли внутрь этих систем и имели доступ к находившейся в них информации.
Как долго хакеры имели доступ к вашим системам?
В данном случае мы выявили аномалию в нашей системе не позднее 70 дней с момента проникновения и немедленно начали тщательную проверку. В результате 18 января мы смогли определить, что наши серверы были взломаны. Наш анализ показывает, что вторжение произошло 9 ноября 2021 года.
На обнаружение такой масштабной и сложной атаки обычно требуется время. Так, по нашим данным, средний срок выявления взлома системы составляет 212 дней**.
Как хакеры получили доступ к вашим системам?
Хакеры смогли проникнуть в сеть МККК и получить доступ к нашим системам, использовав неисправленную критическую уязвимость*** в модуле аутентификации (CVE-2021-40539). Эта уязвимость позволяет злоумышленникам загрузить на сервер веб-шелл и выполнять произвольные действия, например получить доступ к учетным данным администратора, осуществлять боковое перемещение и выгружать файлы реестра и Active Directory. Оказавшись внутри нашей сети, хакеры использовали специализированные инструменты, которые позволили им маскироваться под санкционированных пользователей или администраторов. Это, в свою очередь, позволило им получить доступ к данным, несмотря на то, что эти данные были зашифрованы.
Почему не сработала защита?
Обновление программного обеспечения для устранения уязвимостей — обширное направление работы в любой крупной организации. Каждый год мы устанавливаем на наши системы десятки тысяч обновлений. Своевременное исправление критических уязвимостей имеет важнейшее значение для информационной безопасности, но, к сожалению, мы не успели применить соответствующее исправление до того, как произошла атака.
В сети МККК действует многоуровневая система защиты, в которую входят средства мониторинга конечных точек, программное обеспечение для сканирования и другие инструменты. Проведенный после атаки анализ показал, что наших процедур и инструментов управления уязвимостями оказалось недостаточно для того, чтобы предотвратить утечку данных. Мы немедленно внесли необходимые изменения в процедуры и обновили состав инструментов соответствующим образом. Кроме того, мы приняли решение ускорить реализацию мероприятий, уже запланированных в рамках нашей последней программы укрепления информационной безопасности, реализация которой была начата в феврале 2021 года в ответ на постоянно меняющийся ландшафт угроз.
Кто несет ответственность за кибератаку?
Мы не можем установить, кто стоит за этой атакой или почему она была осуществлена, и не будем строить догадок по этому поводу. У нас не было никаких контактов с хакерами, и мы не получали требований о выкупе. В соответствии с нашей сложившейся практикой — стремиться к взаимодействию с любыми лицами и структурами, которые могут облегчить или затруднить нашу гуманитарную работу, — мы готовы вести прямой и конфиденциальный диалог с теми, кто несет ответственность за этот взлом, кто бы они ни были, чтобы убедить их в необходимости уважать нашу гуманитарную деятельность. Мы также вновь призываем этих хакеров не распространять, не продавать, не выкладывать эти данные и не использовать их каким-либо иным образом.
К какой информации был получен доступ?
В результате взлома был получен несанкционированный доступ к персональным данным (таким как имена, местонахождение и контактная информация) более чем 515 тыс. человек по всему миру. Среди них пропавшие без вести и их родственники, лица, содержащиеся под стражей, и другие люди, которым Движение Красного Креста и Красного Полумесяца оказывает помощь в связи с вооруженными конфликтами, стихийными бедствиями или миграцией. Мы полагаем, что распространение дополнительной информацией о личности, местонахождении или происхождении этих людей противоречило бы их интересам.
Были ли данные скопированы и экспортированы?
Мы вынуждены предположить, что да. Мы знаем, что хакеры проникли внутрь наших систем, а следовательно, имели возможность скопировать и экспортировать данные. Насколько нам известно, информация не была опубликована или использована для извлечения выгоды. Никакие данные в результате нарушения безопасности удалены не были. Это важно, поскольку это позволило нам перезапустить наши системы и вернуться к работе по воссоединению близких.
Насколько вы уверены в том, что хакеры больше не имеют доступа к вашим системам?
Мы отключили взломанные серверы сразу же, как только выявили факт вторжения в нашу систему. Мы уверены, что этот инцидент не затронул другие серверы, поскольку наши системы сегментированы и мы непрерывно отслеживаем любые признаки вредоносной активности с помощью передовых инструментов.
Почему вы не публикуете дополнительную техническую информацию о совершенной атаке или о ваших системах?
Мы крайне серьезно относимся к информационной безопасности и много лет вкладываем значительные средства в ее укрепление. С учетом постоянно меняющегося ландшафта угроз эти инвестиции необходимо продолжать. В целях обеспечения безопасности наших приложений, а также в соответствии с передовой отраслевой практикой мы не раскрываем подробности используемой нами технической архитектуры или систем безопасности.
Какие еще шаги вы предпринимаете, чтобы не допустить повторения произошедшего?
Подобное нарушение безопасности данных демонстрирует растущую тенденцию к ведению киберопераций против гуманитарных организаций. Нарушения безопасности данных могут иметь тяжелейшие последствия для людей, которым помогают такие организации — и которые и так уже очень уязвимы. МККК и его партнеры по Движению работают сейчас над тем, чтобы привлечь внимание государств и других акторов к необходимости защитить гуманитарные организации в цифровом пространстве так же, как их защищают в реальном мире.
_______________________________
* APT (Advanced Persistent Threat, «постоянная серьезная угроза») — представляющий угрозу актор, как правило государство или группа, действующая при поддержке государства, который получает несанкционированный доступ к компьютерной сети, оставаясь незамеченным продолжительное время. В последнее время этот термин применяется также к группам, осуществляющим крупномасштабные направленные вторжения с конкретной целью без поддержки государства (см.: https://en.wikipedia.org/wiki/Advanced_persistent_threat).
** Из опубликованного IBM отчета Cost of a Data Breach Report 2021: «В 2021 г. на выявление утечки данных уходило в среднем 212 дней, а на принятие мер реагирования — в среднем 75 дней; таким образом, общий цикл реагирования на утечку составлял 287 дней». См.: https://www.ibm.com/security/data-breach.
*** См.: https://nvd.nist.gov/vuln/detail/cve-2021-40539.