Дайджест Start X № 429

Взлом затронул центральную инфраструктуру системы управления судебными делами — платформу CM/ECF, используемую юристами для подачи документов, а также PACER — публичный интерфейс для доступа к тем же данным. Уязвимость была обнаружена примерно 4 июля, но масштабы атаки до сих пор уточняются.

Пока неизвестно, каким образом злоумышленникам удалось проникнуть в систему. Предполагают, что атака могла быть организована при участии киберпреступных группировок или подконтрольных государству структур.

Инцидент назван беспрецедентным по уровню угрозы из-за природы данных, хранящихся в системе. Помимо анкетных сведений и внутренней переписки, CM/ECF содержит обвинения, ордера на обыск и арест, а также информацию о сотрудничестве подозреваемых со следствием. Всё это представляет огромную ценность как для враждебных государств, так и для криминальных структур.

Расследование показало, что атакующий обманным путем получил доступ к облачной CRM-системе Salesforce, которую Cisco использует для работы с клиентами. Были похищены персональные данные пользователей Cisco.com, включая: имена, названия организаций, адреса, пользовательские ID, выданные Cisco, email-адреса, номера телефонов и метаданные аккаунтов, включая даты их создания.

В компании подчеркивают, что атакующий не получил доступа к конфиденциальной или внутренней информации корпоративных клиентов, а также к паролям или другим чувствительным данным. Инцидент не затронул продукты и сервисы Cisco, а также другие экземпляры CRM-системы.

Не сообщается, сколько пользователей пострадало от этой утечки, и запрашивали ли злоумышленники выкуп за неразглашение данных. Почерк атаки указывает на хакерскую группировку ShinyHunters, которая за последние месяцы успешно атаковала многие крупные компании, включая Adidas и Google.

Жертвами схемы стали Google, Adidas, Louis Vuitton, Chanel, Allianz Life, Qantas, Pandora и другие мировые бренды; саму кампанию впервые выявила в июне команда Google Threat Intelligence Group, но уже 6 августа Google признала, что тоже была взломана.

У Google атакующие скачали контактные данные и другие сведения о клиентах малого и среднего бизнеса. У других компаний хакеры получали доступ к аккаунтам Microsoft 365. После кражи они требовали выкуп, угрожая опубликовать данные.

Salesforce позволяет пользователям быстро подключать внешние приложения через код подтверждения; злоумышленники эксплуатируют эту простоту в сочетании с социальным инжинирингом по телефону. Достаточно было ввести 8-значный код, чтобы злоумышленники получили доступ к данным CRM.

Городской совет единогласно продлил объявленное мэром Мелвином Картером чрезвычайное положение ещё на 90 дней. Режим Ч С позволяет оперативно привлекать ресурсы города, штата и федерального уровня, включая киберподразделения Национальной гвардии Миннесоты, чтобы расследовать атаку и восстановить системы.

С 28 июля городскую IT-инфраструктуру изолировали от внешнего мира: это решение было необходимо для сдерживания атаки. Несмотря на технические ограничения, критически важные функции — от выплаты зарплат до служб экстренного реагирования — продолжают работать. Некоторые системы уже восстановлены, но каналы связи с населением всё ещё частично недоступны.

Известно, что хакеры получили имена и контактные данные клиентов, номера и уровни программы лояльности Flying Blue, а также темы служебных писем. Пароли, паспортные данные, данные о полётах и платежная информация, по утверждению авиакомпаний, не пострадали.

Пассажирам советуют проявлять особую осторожность с письмами и звонками, где могут использоваться их персональные данные для более правдоподобного фишинга. Уведомления об инциденте направлены регуляторам Нидерландов и Франции.

Взлом стал частью волны утечек через сторонних поставщиков, затронувшей Dior, Chanel, Pandora, Google, Qantas, Allianz и других. Главным подозреваемым СМИ называют группировку ShinyHunters. Исследователи также указывают на активность Scattered Spider в авиасекторе.

Инцидент подчёркивает растущие риски цепочки поставок: даже если собственные ИТ-системы надёжно защищены, сторонние сервисы могут оказаться слабым звеном.