Többszáz cég is áldozattá válhatott a Kaseya felhőjén keresztül - magyar szerverek is részt vehettek a támadásban

A támadók július 4-re időzített támadása több mint 40 olyan céget érintett, amelyek a Kaseya felhős eszköz- és patch management rendszerét használta. Egyenlőre még nem lehet pontosan tudni az érintettek körét, elhangzott már, hogy 200 de akár 1000 szervezetet is érinthetett a támadás.

A sérülékenységek befoltozására és az alkalmazások vagy rendszerek kezelésére és frissítésére használt felhős platformon keresztül bekövetkezett tömeges ransomware támadásra történő reagálást az is nehezítette, hogy az amerikai nemzeti ünnep és a szabadságolások miatt a cégek eleve nagyon kevés bevethető erőforrással rendelkeztek. 

A 70 millió dollár váltságdíjat követelő támadó a REvil csoporthoz köthető szervezet lehet, bár a REvil ransomware-as-a-service (RaaS) bizniszben nyomul, azaz bérbeadja a zsaroláshoz szükséges infrastruktúrát és eszközöket, így a tényleges elkövetőkkel kapcsolatban egyenlőre nem áll rendelkezésre pontos információ. A REvil kapcsolatba hozható a JBS húsipari mamutot ért korábbi támadással is, amely során 11 millió dollár váltságdíjat gyűjtött be a támadó. 

A Kaseya jelenleg megpróbálja újraindítani a szolgáltatói rendszert és az esemény kivizsgálásához a FireEye szakembereit kérte fel.

Úgy tűnik, az incidensben hazai szervereket is felhasználhattak a támadók. A magyar szervereket feltehetőleg korábban kompromittálták és vezérlő szerverként (Command and Control -CnC) használták fel őket a támadás során. 

A kiadott CnC szerver lista alapján az érintett magyar szerverek:

  • https://iphoneszervizbudapest.hu
  • https://hebkft.hu/
iphoneszervizbudapest.hu - AlienVault OTX információ
iphoneszervizbudapest.hu - AlienVault OTX információ

Azt fontos megjegyezni, hogy a CnC listában szereplő szerverek esetében azt nem lehet tudni, hogy az incidenskezelők IP címet oldották vissza ezekre a domainekre, vagy a kommunikációban a konkrét URL és domai cím szerepelt.

A lista alapján az biztosnak tűnik, hogy a két domain vagy az alattuk működő két IP címet kapcsolatba hozták az incidenssel, de például az iphoneszervizbudapest.hu domaint és további másik 500 domaint is a 185.43.206.2 - cpanel1.rackforest.hu szolgálja ki. A hebkft.hu esetében kicsit egyszerűbb a kép, mivel a 63.34.33.206 IP címmel rendelkező szerver csak két domaint (hebkft.hu és dellroll.hu) szolgál ki. 

Mivel mindkét érintett domain esetében is van nyoma annak, hogy a korábbi időszakban is igénybe vették a REvil, vagy más néven Sodinokibi ransomware kampányokban, feltételezhető, hogy a domainek voltak az érintettek. 

A Kaseya rendszerén keresztül más szervezeteket is érintő támadás már most kiverte a biztosítékot az amerikai kormányzatnál. 

A probléma súlyosságát jelzi, hogy Joe Biden amerikai elnök a hétvégén személyesen utasította az ország hírszerző ügynökségeit a támadások kivizsgálására. Az elnök első nyilatkozata szerint egyelőre nem igazolható, hogy ennek az akciónak köze lenne az orosz kormányzathoz, bár a Vlagyimir Putyinnal folytatott júniusi találkozójára utalva azt is hozzátette, hogy ha ez mégis bebizonyosodik, akkor az USA akkori ígéretének megfelelően válaszolni fog a támadásra. - írja a Bitport

A Kaseya-t és rajta keresztül más vállalatokat érintő támadás újra rámutat az ellátási lánc biztonságának fontosságára.

A Google ezzel kapcsolatban kiadott egy olyan keretrendszert, amelyet mindenképpen szeretnénk javasolni a CISO-k és a szolgáltatói környezeteket menedzselők figyelmébe. 

A Supply chain Levels for Software Artifacts azaz SLSA ("salsa") egy végponttól végpontig terjedő keretrendszer, amely a szoftvergyártók és szolgáltatók, valamint a felhasználó és igénybevevő szervezetek saját ellátási láncának biztonsági követelményeire, elvárásaira és megvalósítására fókuszál már a szoftverfejlesztéstől elkezdve.