Полный список угроз CrowdStrike попал в лапы хакеров

Компания CrowdStrike , признанный лидер в области кибербезопасности, пострадала от утечки, ответственность за которую взяла на себя хакерская группа USDoD. По утверждению злоумышленников, им удалось добыть полный внутренний перечень угроз CrowdStrike, включая индикаторы компрометации ( IoC ). Документ содержит 250 миллионов записей о различных хакерских группировках.

В блоге от 25 июля 2024 года компания подтвердила заявления хакеров. USDoD разместила ссылку для скачивания предполагаемого списка угроз и предоставила примеры данных на известном хакерском форуме BreachForums.

Ситуация развивается на фоне недавнего глобального сбоя в IT-системах 19 июля , вызванного ошибкой в обновлении контента для платформы CrowdStrike Falcon. В результате была серьезно нарушена работа ключевых секторов, включая авиацию, банковскую сферу, СМИ и здравоохранение.

Как сообщают представители CrowdStrike, опубликованный USDoD образец содержит следующую информацию:

• Псевдонимы злоумышленников
• Страны происхождения
• Описание угроз
• Даты последней активности
• Уровни достоверности
• Классификации угроз

Компания также подчеркнула, что сведения о киберугрозах априори доступны множеству их проверенных клиентов и партнёров, а также потенциальным заказчикам и сотням тысяч пользователей, но не находятся в открытом доступе.

В образце утечки приведены данные с датами «последней активности», не позднее июня 2024 года. Тем не менее, в системе Falcon последние даты активности некоторых упомянутых злоумышленников отмечены июлем 2024 года. Значит, системы были взломаны совсем недавно.

USDoD также утверждает, что они завладели полным списком индикаторов компрометации CrowdStrike и в ближайшее время планируют его опубликовать. Обычно с помощью таких индикаторов специалисты определяют методы, которыми пользуются хакеры при атаках.

В интервью для Infosecurity Magazine CrowdStrike подчеркивает — даже если утверждения атакующих верны, это не является взломом в классическом понимании этого слова:

«Взлома CrowdStrike не было. Эти данные о киберугрозах доступны тысячам наших клиентов и партнёров».

По данным CrowdStrike, группа USDoD активна как минимум с 2020 года и осуществляет как хактивистские, так и финансово мотивированные атаки. В последние два года хакеры сосредоточились на целенаправленных операциях по проникновению в системы крупных компаний. В основном для этого применяются методы социальной инженерии.

В сентябре 2023 года USDoD заявила о краже персональных данных кредитного агентства TransUnion, а также о взломе данных компании Airbus в том же месяце.

CrowdStrike также отмечает, что USDoD склонна преувеличивать свои заявления, возможно, стремясь повысить свой авторитет в хактивистских и киберпреступных кругах.

Эксперты рекомендуют организациям усилить меры безопасности и внимательно следить за развитием ситуации, поскольку утечка данных о киберугрозах может привести к новым атакам и эксплуатации уязвимостей.