Компания-разработчик программного обеспечения, которую взломали для распространения вымогателей, ранее имела недостатки в безопасности.

Мэтт О’Брайен | Ассошиэйтед Пресс

В течение 21 года компания-разработчик программного обеспечения Kaseya действовала в относительной безвестности — по крайней мере, до тех пор, пока киберпреступники не воспользовались ею в начале июля в массированной атаке программ-вымогателей, которая всколыхнула бизнес по всему миру и обострила дипломатическую напряженность между Соединенными Штатами и Россией.

Но оказалось, что недавний взлом был не первой серьезной проблемой кибербезопасности, поразившей компанию из Майами и ее основной продукт, который ИТ-команды используют для удаленного мониторинга и управления компьютерными системами и другими устройствами на рабочем месте.

«Это немного похоже на дежавю», — сказала Элли Меллен, аналитик по безопасности из Forrester Research.

Например, в 2018 году хакерам удалось проникнуть в инструмент Kaseya 2018, чтобы запустить процесс «криптоджекинга», который направляет мощность зараженных компьютеров на добычу криптовалюты — часто незаметно для жертв. Это была менее разрушительная атака, чем недавняя атака программ-вымогателей, которую невозможно было пропустить, поскольку она парализовала пораженные системы до тех пор, пока владельцы не заплатят. Но он также полагался на продукт Kaseya Virtual System Administrator, или VSA, как на способ связаться с компаниями, которые от него зависят.

Атака программы-вымогателя в 2019 году также проникла на компьютеры через плагин Kaseya VSA другой компании, нанеся более ограниченный ущерб, чем последняя атака. Некоторые эксперты связывают эту более раннюю атаку с некоторыми из тех же хакеров, которые позже сформировали REvil, русскоязычный синдикат, обвиненный в последней атаке.

А в 2014 году основатели Касеи подали в суд на компанию в споре об ответственности за уязвимость VSA, которая позволила хакерам запустить отдельную схему криптовалюты. О судебном деле ранее не сообщалось. В то время основатели отрицали ответственность за уязвимость, называя выдвинутые против них обвинения со стороны компании «ложным утверждением».

По словам Кэти Муссорис, эксперта по кибербезопасности, основателя и генерального директора Luta Security, основной причиной почти всех проблем с безопасностью Kaseya являются хорошо изученные криптографические уязвимости, которые необходимо было устранить заранее.

«Касею нужно формировать, как и всю индустрию программного обеспечения», — сказала она. «Это неспособность усвоить уроки, которые преподают вам ошибки. Касея, как и многие компании, не может усвоить эти уроки».

Многие атаки, по крайней мере частично, основывались на так называемой SQL-инъекции, методе, который хакеры используют для внедрения вредоносного кода в веб-запросы. Это старая технология, которая, по словам Милен, была «решенной проблемой» в мире кибербезопасности в течение десяти лет.

«Это указывает на постоянную проблему безопасности продукта в Kaseya, которая остается без внимания семь лет спустя», — сказала она. «Когда организации решают преодолеть проблемы безопасности, инциденты, как в данном случае, продолжают усугубляться».

Касея отмечает, что это уже давно стало целью, потому что многие из его прямых клиентов являются «поставщиками управляемых услуг», на которых размещена ИТ-инфраструктура сотен, если не тысяч, других компаний.

«Что касается бизнеса, которым мы занимаемся, и количества конечных точек, которыми мы работаем по всему миру, как и следовало ожидать, мы очень серьезно относимся к безопасности», — сказал Ронан Кирби, глава европейского подразделения компании, на бельгийской конференции по кибербезопасности в четверг. «Вы нападаете на компанию, вы входите в компанию. Вы нападаете на поставщика услуг, вы достигаете всех его клиентов. Вы заходите в Kaseya, и это совсем другое предложение. Так что мы явно являемся привлекательной целью».

Кэсси отказалась отвечать на вопросы Associated Press о прошлых взломах или судебном споре, в котором участвовали его основатели.

Марк Сазерленд и Пол Вонг стали соучредителями Kaseya в Калифорнии в 2000 году. Ранее они вместе работали над проектом по защите учетных записей электронной почты сотрудников американской разведки в Агентстве национальной безопасности, согласно аккаунту на веб-сайте компании.

Но более чем через год после продажи Касеи в июне 2013 года протоколы судебных заседаний показывают, что Сазерленд Вонг и два бывших генеральных директора подали на компанию в суд с требованием вернуть 5,5 млн долларов в результате обратного выкупа акций, в котором, по их словам, было несправедливо отказано.

Суть спора заключалась в атаке хакеров, которые использовали VSA Касеи в качестве канала для распространения вредоносного ПО для майнинга Litecoin, которое тайно похищает способность компьютера жертвы зарабатывать деньги для хакера, обрабатывая новые платежи в криптовалюте.

Касея публично сообщила об атаках в уведомлении для клиентов в марте 2014 года. В частности, он обвинил предыдущее руководство компании в том, что оно не предупредило о «серьезных слабостях» в программном обеспечении Kaseya. Они стремились лишить их последних 5,5 миллионов долларов покупной цены, чтобы компенсировать потерю бизнеса и репутационный ущерб.

Основатели, в свою очередь, обвинили новое руководство в сокращении опыта программирования и устранении системы «исправлений» для быстрого исправления ошибок, согласно иску, поданному Сазерлендом, Вонгом, бывшим генеральным директором Джеральдом Блэки и бывшим операционным директором Тимоти Макмалленом.

Они также утверждали, что техника SQL-инъекции, используемая хакерами, была слишком распространена и «присуща любому компьютерному коду», в котором использовался язык программирования SQL.

«Гарантировать, что каждый бит кода доступа к базе данных невосприимчив к SQL-инъекции, практически невозможно», — говорится в их иске. И Меллен, и Муссорис отвергли это утверждение.

«Это смелое заявление, безусловно, неверное», — сказал Мусорис. «Это подчеркивает тот факт, что им не хватало знаний и навыков для защиты своих пользователей».

Ни истцы, ни их адвокаты не ответили на запросы о комментариях. Они согласились закрыть дело в декабре 2013 года, всего через месяц после его подачи. Непонятно, как это было решено. Касея находится в частной собственности.

В профилях LinkedIn Сазерленд и Вонг указаны как пенсионеры, а Сазерленд также выращивает виноград. Блэки стал генеральным директором компании Pilixo, другого поставщика программного обеспечения для удаленного управления в Майами, к которому присоединился Макмаллен. Пиликсо не ответил на запрос о комментарии.

Новые уязвимости, влияющие на VSA Касеи, в том числе те, которые используются бандой вымогателей REvil, были обнаружены в этом году голландской исследовательской группой по кибербезопасности, которая сообщила, что тайно предупредила Касею в начале апреля. «Попав в чужие руки, эти уязвимости могут привести к вторжению на большое количество компьютеров, управляемых Kaseya VSA», — говорится в сообщении Нидерландского института по обнаружению уязвимостей на прошлой неделе, в котором описывается график действий.