Най-големият ИТ срив в историята засегна 8,5 млн. компютъра. Причината?
Експерти предупредиха, че хакери се опитават да се възползват от ситуацията с нови фишинг кампании
Microsoft изчислява, че около 8,5 милиона компютъра по света са били засегнати от неотдавнашния глобален ИТ срив. Това го превръща, твърдят от технологичния гигант, в най-тежкото киберсъбитие в историята.
В официалния си блог компанията заявява, че макар грешката да е засегнала по-малко от един процент от всички компютри с Windows, „широкото икономическо и обществено въздействие отразява използването на Crowdstrike от предприятия, които управляват много критични услуги“.
Грешката беше причинена от повредена актуализация на доставчика на киберсигурност Crowdstrike, която доведе до срив на компютрите с Windows. Това предизвика хаос в голяма част от света от четвъртък до петък - полети не можеха да излитат и кацат, финансови институции не можеха да приемат плащания с карти, болници и клиники трябваше да отменят операции, а множество телевизионни компании преустановиха излъчване.
„Не бях чак толкова изненадан, че инцидент предизвика сериозни глобални дигитални смущения. Предполагам, че бях малко изненадан, че причината за това беше софтуерна актуализация от много уважавана компания за киберсигурност“, коментира Киаран Мартин, бивш ръководител на Националния център за киберсигурност на Обединеното кралство, цитиран от Euronews. „Отдавна говорим в индустрията за присъщата крехкост на основните части на интернет, тези малки части от дейността и инфраструктурата, които са в основата на всичко, и ако се объркат, това може да има наистина сериозни глобални последици.“
Бившият ръководител на киберотдела на британската организация за разузнаване и сигурност GCHQ, от своя страна, подчертава, че прекъсването е разкрило мащаба на зависимостта на повечето хора от техните компютърни системи и опустошителното въздействие, което подобни смущения могат да имат.
„Това подчертава, че живеем в свят на зависимост и уязвимост и че смущенията могат да се случат и ще се случват, а ИТ са в основата на ежедневните ни операции, на нашия бизнес, на нашите икономики, на всичко в нашия живот“, предупреждава Сали Уокър, като акцентира, че „злонамерени“ участници ще се възползват от неяснотата и объркването около всеки подобен срив.
И този с CrowdStrike не прави изключение.
Хакерите се опитват да използват ситуацията
Това послание беше повторено и от Националния център за киберсигурност на Великобритания, който се обърна към британците и предприятията в страната с предупреждение да бъдат нащрек за опити за фишинг.
Германската правителствена агенция за ИТ сигурност направи същото, като обърна внимание, че киберпрестъпниците се опитват да се възползват от ситуацията както чрез фишинг кампании, така и чрез фалшиви уебсайтове и други измами. В обращение е и „неофициален“ софтуерен код, алармираха от там.
Дори главният изпълнителен директор на CrowdStrike Джордж Курц предупреди, че веднага след срива са се появили нови фишинг схеми, в които злонамерени участници се представят за служители на неговата компания или други технически специалисти, предлагащи помощ на възстановяващите се от прекъсването.
„Насърчавам всички да останат бдителни и да се уверят, че контактуват с официални представители на CrowdStrike“, каза Курц.
Въпреки огромните смущения, причинени от глобалното прекъсване, Сали Уокър все пак смята, че регистрите на риска не са се променили особено.
„Нашите регистри на риска, нашето разбиране за това какво може да се обърка не се променят заради инциденти като този. Реалността е, че рискът съществува всеки ден“, категорична е тя.
Защо се случи най-големият срив в историята?
Експерти по сигурността коментират пред Reuters, че рутинната актуализация на широко използвания софтуер за киберсигурност на CrowdStrike очевидно не е била подложена на адекватни проверки на качеството преди да бъде внедрена.
Най-новата версия на софтуерът Falcon е трябвало да направи системите на клиентите на CrowdStrike по-сигурни срещу хакерски атаки, като актуализира списъка със заплахите, срещу които защитава. Но дефектен код е объркал плановете на компанията, както и на нейните клиенти. Затова и експертите смятат, че възстановяването ще отнеме време, тъй като е необходимо ръчно изчистване на дефектите.
„Изглежда, че при проверката в „пясъчник“ (среда, в която се тества безопасно софтуер), която те правят, когато разглеждат кода, този файл по някакъв начин не е бил включен или се е промъкнал“, казва Стив Коб, главен служител по сигурността в Security Scorecard.
Патрик Уордъл, изследовател в областта на сигурността и специалист в изучаването на заплахите срещу операционните системи, на свой ред, разкрива, че неговият анализ е идентифицирал кода, отговорен за прекъсването на работата.
„Проблемът на актуализацията е бил във файл, който съдържа или информация за конфигурацията, или сигнатури, които откриват специфични видове злонамерен код или зловреден софтуер“, казва той. „Много често продуктите за сигурност актуализират сигнатурите си, например веднъж дневно, защото непрекъснато следят за нов зловреден софтуер и защото искат да са сигурни, че клиентите им са защитени от най-новите заплахи. Именно честотата на актуализациите вероятно е причината, поради която CrowdStrike не е тествала достатъчно“.
И други компании за сигурност са имали подобни епизоди в миналото. През 2010 г. сгрешената антивирусна актуализация на McAfee блокира стотици хиляди компютри. Но глобалното въздействие на този срив отразява доминиращата роля на CrowdStrike на този пазар. Повече от половината от компаниите в класацията Fortune 500 и много правителствени органи, в това число и самата водеща агенция за киберсигурност на САЩ - Агенцията за киберсигурност и инфраструктурна сигурност, използват софтуера на компанията.