Не зламали, а переконали
Компанії можуть витрачати мільйони на кіберзахист, а зловмисники можуть його обійти не витрачаючи при цьому ні копійки. Для цього достатньо знати персональну інформацію співробітника, зателефонувати в ІТ-підтримку і сказати: “Добрий день, я забув пароль”.
Так і сталось у випадку з британською мережею Marks & Spencer. У результаті інциденту компанія втратила онлайн-продажі аж на 46 днів, зіткнулась з проблемами в постачанні товарів і була змушена відновлювати значну частину ІТ-інфраструктури.
Як усе почалось?
Зловмисники заздалегідь зібрали інформацію про конкретного працівника Marks & Spencer. Після цього вони зв’язалися зі стороннім постачальником ІТ-послуг і представилися цією людиною.
Атакуючі знали достатньо персональних та робочих даних, щоб успішно пройти перевірку особи. Таким чином вони атакували сам процес відновлення доступу і отримали доступ до корпоративного облікового запису.
Отримавши легітимний корпоративний обліковий запис, зловмисники змогли діяти всередині інфраструктури як звичайний користувач.
Вони розширили свої права та почали рухатись між внутрішніми системами. За інформацією галузевих джерел, атакуючі могли отримати доступ до Active Directory, викрасти хеші паролів доменних користувачів і використати їх для компрометації інших облікових записів. Також повідомлялося, що хакери отримали доступ до середовища VMware та зашифрували частину віртуальних машин.
Але проблема полягала не лише в тому, що зловмисники отримали один обліковий запис. Цей доступ дозволив їм просуватись всередині інфраструктури та взаємодіяти з іншими системами. Сама M&S визнала, що середовище складалося із взаємопов’язаних застарілих і сучасних систем, тому швидко ізолювати окремі компоненти було складно.
Як компанія виявила атаку
У магазинах почали виникати проблеми з безконтактною оплатою та сервісом Click & Collect. Якщо коротко, то це сервіс самовивозу онлайн-замовлень із магазину. Згодом M&S повідомила про кіберінцидент і почала вимикати частину систем, щоб обмежити поширення атаки. Це допомогло стримати зловмисників, але одночасно вплинуло на основні бізнес-процеси:
- сайт і мобільний застосунок перестали приймати замовлення;
- частина складських процесів перейшла в ручний режим;
- виникли проблеми з поповненням товарів у магазинах;
- робота Click & Collect була порушена;
- відновлення систем тривало кілька місяців.
Крім того, атакуючі викрали частину персональних даних клієнтів, зокрема контактну інформацію, адреси та дати народження.
Розберемо проблемні місця, які дозволили зловмисникам провести атаку:
- Недостатня перевірка особи
Зловмисники змогли пройти процедуру ідентифікації, використовуючи інформацію про реального працівника. Сама ж перевірка ґрунтувалася на даних, які можна було знайти, викрасти або дізнатись заздалегідь.
Рішення: посилений контроль ідентичностей та процедур відновлення доступу
IAM для централізованого керування обліковками та політиками автентифікації. Для критичних операцій, таких як скидання пароля, зміна MFA або відновлення доступу, має використовуватись посилена перевірка особи: підтвердження через надійний канал, додаткове погодження та журналювання всіх дій. Додатково можна використовувати фішингостійку MFA, яка прив’язує автентифікацію до реального сайту/домену. Якщо користувач потрапить на фішинговий сайт, ключ або passkey просто не спрацює.
- Доступ через стороннього постачальника
Підрядники часто мають доступ до внутрішніх систем компанії або можуть виконувати критичні операції, наприклад скидати пароль чи відновлювати доступ. Тому компрометація підрядника чи маніпуляція з його процесами фактично стає компрометацією самої компанії.
Рішення: контроль привілейованого доступу, навчання співробітників (служби підтримки)
У даному випадку PAM дозволяє надавати підрядникам доступ лише до конкретних систем і лише на час виконання робіт. При цьому, користувач не отримує і не бачить пароль, а всі його дії записуються та контролюються. Також важливо навчати працівників служби підтримки, оскільки, як і в цій історії, вони можуть стати ціллю соціальної інженерії.
- Надмірні доступи
Після отримання доступу до акаунта, зловмисники змогли просуватись між системами та розширювати свої права. У правильному сегментованому середовищі компрометація одного користувача не повинна відкривати шлях до критичних систем.
Рішення: контроль привілейованого доступу та принцип мінімальних привілеїв
Компанії потрібно регулярно переглядати права користувачів і підрядників, прибирати зайві доступи та обмежувати можливість горизонтального переміщення між системами.
- Складна та взаємопов’язана інфраструктура
Поєднання застарілих і сучасних систем ускладнило локалізацію атаки та змусило компанію вимикати цілі сегменти середовища.
Рішення: сегментація, Zero Trust, інвентаризація активів
Інфраструктуру потрібно розділяти на окремі сегменти, щоб інцидент в одній зоні не паралізував усе середовище. Zero Trust у цьому випадку доповнює сегментацію: навіть якщо зловмисник вже знаходиться всередині мережі, то кожен його запит перевіряється окремо за різними факторами.
- Відсутність швидкого виявлення та реагування інциденту
M&S виявила присутність зловмисників лише через два дні після початкового проникнення. На той момент інцидент уже почав впливати на роботу окремих сервісів і бізнес-процесів. Це означає, що атаку не було виявлено вчасно.
Рішення: моніторинг, кореляція подій та план реагування на інциденти
- Витік даних
Під час атаки були викрадені дані клієнтів. Це показує, що захист має охоплювати не лише доступ до систем, а й самі дані: де вони зберігаються, хто має до них доступ і чи не відбувається їхнє нетипове переміщення.
Рішення: DDR (Data Detection and Response)
DDR дозволяє бачити ризикову поведінку навколо даних, наприклад, масове копіювання, нетиповий доступ, роботу з тіньовими даними або підозріле переміщення інформації.
Наслідки
Marks & Spencer попередньо оцінювала вплив атаки приблизно у 300 млн фунтів операційного прибутку до врахування страхових виплат та інших компенсувальних заходів.
Крім фінансових втрат, компанія фактично втратила частину онлайн-продажів на тривалий період: онлайн-замовлення були недоступні 46 днів, а сервіс Click & Collect повернувся лише через 15 тижнів після інциденту.
Цей кейс демонструє, що технічний захист сам по собі не гарантує безпеку, якщо слабким залишається процес підтвердження особи. Тому захищати потрібно не лише системи, а весь процес управління доступом: від перевірки працівника до дій підрядників, привілейованих облікових записів і можливості одного користувача пересуватися між системами.