Zsarolók loptak adatokat a Bombardiertől

A Bombardier is áldozatául esett azon kiberbűnözőknek, akik adatszivárogtatást követően vállalatokat zsarolnak meg.
 

Az utóbbi időben tovább szaporodtak azok a biztonsági incidensek, amelyek zsarolóvírusok, illetve egyéb módszerek alkalmazását követően adatszivárgáshoz vezetnek, majd váltságdíj követelésével zárulnak. Ezen esetekben előfordul, hogy az elkövetők fájlokat titkosítanak és egyúttal adatokat lopnak, de olyan támadások is akadnak, amik során a támadók kizárólag fájlok eltulajdonítására törekednek. Ez történt a Bombardiernél is.
 
A biztonsági incidens megtörténtét a Bombardier már megerősítette, igaz csak az után, hogy a Clop nevű zsarolóprogramot terjesztő kiberbanda a weboldalán olyan információkat tett közzé, amik a vállalathoz köthetők. A támadás során elsősorban repülőgépgyártással összefüggő adatok kerültek az adattolvajok birtokába, de a cég közlése szerint egyéb bizalmas adatok is érintettek lehetnek. A Clop által kiszivárogtatott állományok között megtalálhatók repülőgépekkel kapcsolatos terveket, alkatrészábrákat és repülési tesztekről készült jelentéseket tartalmazó dokumentumok is.
 
Az adatszivárgás nyilvánosságra kerülését követően a Bombardier egy közleményben reagált, és jelezte, hogy az eddig lefolytatott forensic vizsgálatok arra engednek következtetni, hogy az elkövetők alkalmazottakhoz, ügyfelekhez és beszállítókhoz kapcsolódó adatokat is meglovasítottak. A vállalat már minden érintettel felvette a kapcsolatot, és értesítette őket a történtekről.
 
Mi történt valójában?
 
A vizsgálatok jelenleg is folyamatban vannak, de annyit már lehet tudni, hogy a Clop banda nem a Bombardier belső hálózatát ostromolta. Ehelyett a vállalat által is igénybe vett Accellion FTA fájlmegosztó szolgáltatás, illetve az ahhoz tartozó kiszolgálók nulladik napi biztonság résen keresztül tudott hozzáférni a bizalmas adatokhoz. A gyártó hangsúlyozta, hogy a belső hálózata sértetlen maradt.
 
Az Accellion FTA már körülbelül 20 éves múltra tekint vissza, és meglehetősen népszerű a vállalatok közötti fájltovábbítás terén. 2020 végén azonban egy nulladik napi biztonsági résről hullt le a lepel, amelyet a Clop zsarolóvírus terjesztői ki is használtak, és ezzel több cég számára okoztak fejtörést. Noha a fájlmegosztó fejlesztői a hibát karácsony napján megszüntették, ez már későnek bizonyult, ahogy azt a Bombardier esete is igazolja.
 
A Clop esetében érdemes megjegyezni, hogy a zsarolók – ellentétben más zsarolóvírusoknál megszokottaktól – nem mindig hagynak váltságdíjat követelő fájlokat az érintett rendszereken. Ehelyett előfordul, hogy megkaparintott e-mail címeken keresztül, közvetlenül e-mailben közlik az érintettekkel, hogy mi is történt valójában. Egy ilyen levél például a következőképpen nézhet ki: