Спецпроекты

Из-за нерасторопности ИБ-службы Shell хакеры взломали ее ИТ-систему через старую «дыру»

Безопасность Бизнес

Киберзлоумышленники воспользовались уязвимостью в файлообменной системе Accellion FTA и смогли украсть некоторые данные компании. Видимо, баг трехмесячной давности не успели исправить.

Зашли, но неглубоко

Нефтегазовая корпорация Royal Dutch Shell пала жертвой кибератаки, в результате которой злоумышленники смогли похитить значительное количество конфиденциальных данных.

В заявлении, опубликованном в середине марта 2021 г., пресс-служба Shell сообщила, что злоумышленники воспользовались уязвимостью в программной платформе Accellion FTA (File Transfer Appliance). Парадокс в том, что эта платформа призвана обеспечивать защищенную передачу данных в цифровой инфраструктуре использующих ее компаний. Однако в самой платформе обнаружились уязвимости, которыми теперь активно пользуются киберкриминальные группировки.

В заявлении Shell указывается, что злоумышленники в течение «непродолжительного времени» имели доступ к внутренним ресурсам компании и успели перехватить и вывести некоторые персональные данные и информацию о компаниях, входящих в конгломерат Shell, и некоторых акционерах. По утверждению компании, никаких признаков того, что злоумышленники смогли проникнуть в ее ИТ-системы нет, поскольку система передачи файлов изолирована от остальной инфраструктуры.

«Узнав об инциденте, Shell устранила уязвимости в сотрудничестве со своим сервис-провайдером и собственными специалистами по кибербезопасности, и развернула расследование, чтобы лучше понять природу и масштаб инцидента», — говорится в заявлении компании. Лица и компании, затронутые инцидентом, а также власти и регулирующие органы уведомлены об инциденте.

Кто именно стоит за атакой, точно не известно. По данным Bleeping Computer, наиболее активно уязвимостями в платформе Accellion пользуются группировки Clop и FIN11. Ранее атаки на уязвимые серверы с Accellion FTA стали причинами серьезных инцидентов в таких компаниях как Bombardier Inc., Jones Day и Qualys Inc., а также Аудиторском управлении американского штата Вашингтон.

А ведь предупреждали

Еще в феврале 2021 г. Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало специальное предупреждение о кибератаках, направленных на четыре уязвимости в платформе Accellion FTA: CVE-2021-27101 (SQL-инъекция с помощью специально подготовленного заголовка HOST), CVE-2021-27102 (запуск команды в операционной системе через локальный вызов веб-службы), CVE-2021-27103 (подделка запроса на стороне сервера через специальный запрос POST) и CVE-2021-27104 (запуск команды в операционной системе через специальный запрос POST).

Уязвимость CVE-2021-27101 позволяет неавторизованному пользователю запускать команды удаленно на целевых устройствах. Злоумышленники активно использовали эту возможность для установки веб-шеллов в скомпрометированные системы.

Первая и четвертая уязвимости затрагивают все версии до FTA 9_12_370 включительно, вторая и третья — все версии до FTA 9_12_411 включительно.

Accellion опубликовал патч ко всем этим уязвимостям еще 23 декабря 2021 г., но, как это часто бывает, во многих организациях обновления вовремя установлены не были, что и привело к многочисленным успешным атакам.

«Как ни печально, речь идет либо о нерасторопности ИТ-департамента Shell, либо о недостаточности ресурсов, выделяемых на кибербезопасность в компании, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Почти месяц прошел с публикации CISA, три — с момента выхода исправлений, тем не менее, атака состоялась и была успешной как минимум отчасти. Вся тяжесть ответственности за инцидент лежит на Shell».