Кибератака на МККК: что нам известно

Кибератака на МККК: что нам известно

Обновление: 16 февраля 2022 г., 9:00 (по центральноевропейскому времени)
Статья 21 январь 2022 Швейцария

Прошел почти месяц с того момента, как мы обнаружили, что в результате сложной и тщательно спланированной кибератаки неизвестные лица получили несанкционированный доступ к серверам, на которых размещались персональные данные более чем 515 тыс. человек из разных стран. Теперь мы можем поделиться некоторыми выводами, сделанными по итогам анализа этой утечки данных.

Мы считаем, что МККК, как гуманитарная организация, подотчетная партнерам и людям, которым мы помогаем, должен поделиться имеющейся информацией об этом взломе.

Что мне делать, если я считаю, что к моим данным мог быть получен доступ в ходе этой кибератаки?

Если вы не получали от нас никаких сообщений, но у вас есть опасения, обратитесь в местное общество Красного Креста или Красного Полумесяца или в представительство МККК в своей стране. Список контактных данных представлен здесь. Мы также подготовили более подробный материал в формате вопросов и ответов для людей, которых затронул взлом. Мы знаем, что вы доверили нам свои персональные данные и информацию о зачастую трагических событиях вашей жизни. Это большая ответственность, и мы относимся к ней очень серьезно. Мы хотим, чтобы вы знали: мы делаем все, что в наших силах, чтобы возобновить оказание услуг, которые мы предлагаем по всему миру. Мы приложим все усилия, чтобы сохранить ваше доверие и иметь возможность и дальше вам помогать.

Почему мы утверждаем, что атака была сложной, тщательно спланированной и направленной именно на серверы МККК?

Для получения доступа к нашим системам хакеры задействовали значительные ресурсы и применили тактику, которая позволяет обойти большинство существующих средств защиты. О том, что атака была тщательно спланирована и направлена именно на наши серверы, свидетельствуют следующие факты.

  • Злоумышленники использовали крайне специфический набор передовых инструментов для взлома информационных систем. Такие инструменты обычно имеются в распоряжении групп, относящихся к категории APT1*, не находятся в широком распространении и, как следствие, недоступны для других.
  • Для того чтобы скрыть и защитить используемые вредоносные программы, злоумышленники использовали сложные методы маскировки. Это требует высокого уровня специфических навыков, которыми обладает ограниченное число акторов.
  • Мы пришли к выводу о том, что это целенаправленная атака, поскольку злоумышленники использовали код, написанный специально для выполнения на определенных серверах МККК. В процессе атаки были использованы уникальные идентификаторы атакованных серверов (их MAC-адреса).
  • На серверах были установлены средства защиты от вредоносных программ, которые смогли обнаружить и заблокировать некоторые файлы, использованные злоумышленниками. Однако большинство вредоносных файлов были специально разработаны для обхода наших систем защиты, и вторжение было обнаружено только после того, как мы установили системы обнаружения сложных угроз на конечных точках (EDR) в рамках плановой модернизации.

Когда мы узнали об этой атаке?

Специализированная компания по обеспечению кибербезопасности, привлеченная МККК для защиты информационных систем, заметила аномальную активность на серверах МККК, где размещалась информация, касающаяся всемирной программы Движения Красного Креста и Красного Полумесяца «Восстановление семейных связей». Мы начали тщательно проверять данные и 18 января определили, что хакеры проникли внутрь этих систем и имели доступ к находившейся в них информации.

Как долго хакеры имели доступ к нашим системам?

В данном случае мы выявили аномалию в нашей системе не позднее 70 дней с момента проникновения и немедленно начали тщательную проверку. В результате 18 января мы смогли определить, что наши серверы были взломаны. Наш анализ показывает, что вторжение произошло 9 ноября 2021 года.

На обнаружение такой масштабной и сложной атаки обычно требуется время. Так, по нашим данным, средний срок выявления взлома системы составляет 212 дней**.

Как хакеры получили доступ к нашим системам?

Хакеры смогли проникнуть в сеть МККК и получить доступ к нашим системам, использовав неисправленную критическую уязвимость*** в модуле аутентификации (CVE-2021-40539). Эта уязвимость позволяет злоумышленникам загрузить на сервер веб-шелл и выполнять произвольные действия, например получить доступ к учетным данным администратора, осуществлять боковое перемещение и выгружать файлы реестра и Active Directory. Оказавшись внутри нашей сети, хакеры использовали специализированные инструменты, которые позволили им маскироваться под санкционированных пользователей или администраторов. Это, в свою очередь, позволило им получить доступ к данным, несмотря на то, что эти данные были зашифрованы.

Почему не сработала защита?

Обновление программного обеспечения для устранения уязвимостей — обширное направление работы в любой крупной организации. Каждый год мы устанавливаем на наши системы десятки тысяч обновлений. Своевременное исправление критических уязвимостей имеет важнейшее значение для информационной безопасности, но, к сожалению, мы не успели применить соответствующее исправление до того, как произошла атака.

В сети МККК действует многоуровневая система защиты, в которую входят средства мониторинга конечных точек, программное обеспечение для сканирования и другие инструменты. Проведенный после атаки анализ показал, что наших процедур и инструментов управления уязвимостями оказалось недостаточно для того, чтобы предотвратить утечку данных. Мы немедленно внесли необходимые изменения в процедуры и обновили состав инструментов соответствующим образом. Кроме того, мы приняли решение ускорить реализацию мероприятий, уже запланированных в рамках нашей последней программы укрепления информационной безопасности, реализация которой была начата в феврале 2021 года в ответ на постоянно меняющийся ландшафт угроз.

Кто несет ответственность за кибератаку?

Мы не можем установить, кто стоит за этой атакой или почему она была осуществлена, и не будем строить догадок по этому поводу. У нас не было никаких контактов с хакерами, и мы не получали требований о выкупе. В соответствии с нашей сложившейся практикой — стремиться к взаимодействию с любыми лицами и структурами, которые могут облегчить или затруднить нашу гуманитарную работу, — мы готовы вести прямой и конфиденциальный диалог с теми, кто несет ответственность за этот взлом, кто бы они ни были, чтобы убедить их в необходимости уважать нашу гуманитарную деятельность. Мы также вновь призываем этих хакеров не распространять, не продавать, не выкладывать эти данные и не использовать их каким-либо иным образом.

С кем мы сотрудничаем по этому вопросу?

В настоящий момент мы сотрудничаем с ключевыми технологическими партнерами и специализированными компаниями в области кибербезопасности. С самого начала этого кризиса штаб-квартира МККК в Женеве ведет непрерывный диалог с Национальным центром кибербезопасности Швейцарии (NCSC). Национальные общества Красного Креста и Красного Полумесяца также поддерживают контакт с компетентными государственными органами.

К какой информации был получен доступ?

В результате взлома был получен несанкционированный доступ к персональным данным (таким как имена, местонахождение и контактная информация) более чем 515 тыс. человек по всему миру. Среди них пропавшие без вести и их родственники, лица, содержащиеся под стражей, и другие люди, которым Движение Красного Креста и Красного Полумесяца оказывает помощь в связи с вооруженными конфликтами, стихийными бедствиями или миграцией. Мы полагаем, что распространение дополнительной информацией о личности, местонахождении или происхождении этих людей противоречило бы их интересам.

Были ли данные скопированы и экспортированы?

Мы вынуждены предположить, что да. Мы знаем, что хакеры проникли внутрь наших систем, а следовательно, имели возможность скопировать и экспортировать данные. Насколько нам известно, на данный момент информация не была опубликована или использована для извлечения выгоды. Мы также уверены в справедливости первоначальной оценки, свидетельствующей о том, что в результате взлома никакие данные не были удалены. Это важно, поскольку означает, что мы можем вернуться к работе по воссоединению близких, используя вре́менные системы.

Получил ли доступ к этим данным кто-нибудь еще: например, были ли они обнаружены в теневом интернете?

На данный момент у нас нет убедительных доказательств того, что данные, безопасность которых была нарушена, были опубликованы или используются для извлечения выгоды. Наша группа по кибербезопасности рассматривает все сообщения о возможной доступности данных в теневом интернете.

Насколько мы уверены в том, что хакеры больше не имеют доступа к нашим системам?

Мы отключили взломанные серверы сразу же, как только выявили факт вторжения в нашу систему. Мы уверены, что этот инцидент не затронул другие серверы, поскольку наши системы сегментированы и мы непрерывно отслеживаем любые признаки вредоносной активности с помощью передовых инструментов.

Какие меры мы принимаем?

Мы координируем работу на местах с национальными обществами Красного Креста и Красного Полумесяца, а также с делегациями МККК, делая все возможное, чтобы информировать отдельных лиц и семьи, безопасность чьих данных была нарушена. Это сложный процесс, который потребует времени. В первую очередь мы уделяем внимание тем, кто подвергается наибольшему риску. В частности, мы связываемся с людьми при помощи телефонных звонков, горячих линий, публичных объявлений и писем, а в некоторых случаях группы наших сотрудников выезжают в отдаленные районы, чтобы информировать людей лично.

Мы прилагаем все усилия, чтобы связаться с теми людьми, связь с которыми может быть затруднена, в частности с мигрантами. Наша организация разработала краткосрочные решения, которые позволят сотрудникам Красного Креста и Красного Полумесяца по всему миру продолжать оказывать людям, затронутым этим инцидентом, услуги по розыску близких. В то же время мы работаем над обновлением цифровой среды Центрального агентства по розыску.

Как будет усовершенствована онлайн-среда Центрального агентства по розыску перед возобновлением ее использования?

Безопасность среды будет усилена за счет введения нового процесса двухфакторной аутентификации и внедрения высокотехнологичного решения для выявления угроз. Все приложения и системы будут подвергнуты тестированию на проникновение, и использование цифровой среды будет возобновлено только в случае удовлетворительного результата.

Почему мы не публикуем дополнительную техническую информацию о совершенной атаке или о наших системах?

Мы крайне серьезно относимся к информационной безопасности и много лет вкладываем значительные средства в ее укрепление. С учетом постоянно меняющегося ландшафта угроз осуществление этих инвестиций необходимо продолжать. В целях обеспечения безопасности наших приложений, а также в соответствии с передовой отраслевой практикой мы не раскрываем подробности используемой нами технической архитектуры или систем безопасности.

* APT (Advanced Persistent Threat, «постоянная серьезная угроза») — представляющий угрозу актор, как правило государство или группа, действующая при поддержке государства, который получает несанкционированный доступ к компьютерной сети, оставаясь незамеченным продолжительное время. В последнее время этот термин применяется также к группам, осуществляющим крупномасштабные направленные вторжения с конкретной целью без поддержки государства (см.: https://en.wikipedia.org/wiki/Advanced_persistent_threat). 

** Из опубликованного IBM отчета Cost of a Data Breach Report 2021: «В 2021 г. на выявление утечки данных уходило в среднем 212 дней, а на принятие мер реагирования — в среднем 75 дней; таким образом, общий цикл реагирования на утечку составлял 287 дней». См.: https://www.ibm.com/security/data-breach.

*** См.: https://nvd.nist.gov/vuln/detail/cve-2021-40539.