Garmin został zaatakowany przez hakerów. Padł i nie podnosił się przez kilka dni. Teraz wstał i chce szybko wrócić do walki. Czy lekarz powinien na to pozwolić?
Pozwoliłem sobie na taką trochę bokserską metaforę, bo dobrze ona oddaje to, co dzieje się wokół jednego z największych producentów urządzeń elektronicznych dla osób aktywnych na świecie.
Zacznijmy od początku. 23 sierpnia tajwański serwis iThome poinformował, że kłopoty z dostępnością do platformy treningowej Garmina to tylko czubek góry lodowej. Firma została zaatakowana przez hakerów. I to bardzo poważnie. iThome informowała, że leży nie tylko serwis. Stoi nawet linia produkcyjna. Klientom nie bardzo pomagał sam Garmin, bo zamiast szybko podać przyczyny awarii, informował tylko o tym, że ona jest (spoko taktyka, biorąc pod uwagę, że każdy przytomny użytkownik urządzeń już to odczuł na własnej skórze).
Same urządzenia działały, ale nie komunikowały się z chmurą, czyli serwerami. Dostępu do Garmin Connect nie miał nikt. Wtedy ludzie zdali sobie sprawę z tego, że ten ich zegarek nie jest tylko gadżetem na nadgarstku ale częścią wielkiego ekosystemu zasysającego, przetwarzającego i przechowującego ich dane. Niektórzy zaczęli panikować, bo najnowsze modele mają podpięte karty kredytowe. Czy te dane są bezpieczne?
Szczerze pisząc, przeczytałem kilkadziesiąt artykułów w specjalistycznych mediach. Nikt do dziś nie jest w stanie powiedzieć, jakie może być realne zagrożenie. Żeby nie siać paniki, możemy powołać się na informację Garmina, który zapewnia, że wszystko już jest pod kontrolą i z ich informacji wynika, że nie mają wiedzy na temat wycieku danych wrażliwych.
Garmin zapłacił okup?
Andrei Płotnicki, jeden z członków EvilCorp. Fot. National Crime Agency
Czym zatem był ten atak? Środowisko cyfrowe Garmina zostało zainfekowane przez oprogramowanie wymuszające okup. Specjaliści nazywają to ransomware. Działa tak, jak to widzieliśmy: blokuje dostęp do aplikacji, plików, sieci. Hakerzy szyfrują dane i żądają okupu za odblokowanie dostępu. Tylko, że jeśli włamali się na serwery firmy i mogli wprowadzić tam program szyfrujący, to bardzo prawdopodobne, że mogli też skopiować dane. Warto także pamiętać, że niektóre ataki ransomware kończyły się wyciekiem danych lub szantażami, że wrażliwe informacje zostaną ujawnione, jeśli hakerzy nie dostaną okupu.
Stacja SKY News informuje, że hakerzy zarządali od Garmina 10 milionów dolarów.
40 000 000 złotych za twoje dane
Garmin wstał, otrzepał się i twierdzi, że wszystko wróciło do normy. Eksperci zastanawiają się jednak, czy aby napewno. Przypominają, że wcześniej formy płaciły już okup. Zazwyczaj robi się to przez pośrednika, czyli inną firmę, która legalizuje transakcję, np. pobierając opłatę za usługi eksperckie, doradcze. Co ciekawe, można to sobie wtedy legalnie wpisać do kosztów prowadzenia biznesu, bo w papierach nie mamy wpisanego słowa „okup”.
W jaki sposób firma poradziła sobie z tak dużym atakiem? Prędko się o tym nie dowiemy. Z oświadczenia to nie wynika . Specjaliści dzielą się na tych, którzy twierdzą, że otrzymali klucz od hakerów w zamian za wypłatę im sowitej sumy, lub tych, którzy wierzą, że w Garminie sami opanowali pożar. Być może nie był on aż taki wielki, jak mogliśmy to odczuć. Programiści zajmujący się bezpieczeństwem w dużych firmach podejmują czasem taktykę totalnego „zaciemnienia”. Gdy dochodzi do ataku, a jego źródło i zasięg trudno szybko oszacować, odcina się wszystko, co może być zagrożone. Trochę jak wyłączanie prądu i gazu w całym budynku, gdy pali się garderoba sąsiadki spod 231. Lepiej, żeby Janusz spod 311 nie usmażył dziś kaszanki na kolację, niż żeby w razie eskalacji wybuchło pół budynku.
Transakcje powinny być bezpieczne
Z wielu publikacji wynika, że Garmin Pay™ jest bezpieczny, bo firma nie ma dostępu do naszych kart kredytowych. Lokalnie (a nie w chmurze/na serwerze) wprowadzamy tylko token dostępowy do karty. To klucz kryptograficzny, coś w rodzaju hasła autoryzującego. Nad bezpieczeństwem transakcji czuwa bank. System sprawdza tylko, czy w zdefiniowanym przez bank urządzeniu jest odpowiedni klucz. Tymczasem urządzenia nie były zablokowane po ataku, co wskazuje na to, że hakerom nie udało się przedostać aż tak daleko.
Po co zaatakowano Garmina?
Odpowiedź numer jeden na pytanie o to, po co zaatakowano Garmina to: dla kasy. Firma ma środki, żeby szybko wypłacić ogromny okup. Czy tak było? Nie wiemy. Jednak śledztwa specjalistów od cyberbezpieczeństwa mają ciekawe wątki. Oprogramowanie szyfrujące użyte do ataku to WastedLocker. Specjaliści z firmy Malwarebytes twierdzą, że program powstał w rosyjskiej grupie hakerskiej EvilCorp. Jej członkowie są poszukiwani na całym świecie. Za lidera organizacji, Maksima Wiktorowicza Jakubca, FBI wyznaczyło nagrodę w wysokości 5 milionów dolarów. To największą w historii premia za przekazanie rządowi USA cyberprzestępcy. EvilCorp od dawna okrada instytucje finansowe. Zrobili z tego biznes, który wysysa setki milionów dolarów z kont firm i osób prywatny. WastedLocker to nie jest ich jedyne oprogramowanie, wcześniej tworzyli też inne, które wynajmowali mniejszym grupom przestępczym. Oczywiście jeśli już brniemy z kryminalne historie to EvilCorp, nie jest grupą pryszczatych programistów, jedzących pizzę i pijących colę w ciemnej piwnicy. Bossowie grupy jeżdżą drogimi samochodami, bawią się w najdroższych hotelach i są umoczeni w wiele ciemnych interesów.
EvilCorp stworzył między innymi Bugata. Wirusa, który pomagał im okradać ludzi, banki. Ale organizacja po jakimś czasie nie musiała sama kraść. Zorganizowali hakerską franczyzę. Zgodnie z dokumentami sądowymi, Jakubiec udzielił hakerowi w Wielkiej Brytanii dostępu do Bugata w zamian za 100 tys. dolarów z góry, plus 50 procent wszystkich przychodów, przy minimalnych wpływach 50 tys. dolarów tygodniowo. Jakubiec oferował wsparcie programistyczne w razie potrzeby. FBI szacuje, że od 2011 roku Bugat (znany również jako Dridex i Cridex) spowodował straty w wysokości ponad 100 milionów dolarów w setkach banków. Z organizacją walczą niemal wszystkie służby świata. Każdy może być bowiem jej kolejną ofiarą. Jakubiec już wcześniej maczał palce w innym oprogramowaniu służącym do okradania instytucji finansowym: Zeusie. Ataki za pomocą tego wirusa przyniosły Jakubiecowi około 70 milionów dolarów zysków. Nie oszczędził nawet sióstr franciszkanek z Chicago.
Podejrzewa się ich także o współpracę z rosyjskimi służbami, które zlecają im ataki na różne sektory światowej gospodarki. Amerykańskie agencje zajmujące się bezpieczeństwem oficjalnie piszą o tym, że Jakubiec działał na zlecenie FSB (Federalnej Służby Bezpieczeństwa Rosji) przynajmniej od 2017 roku.
Ostatnio EvilCorp zatakował np. amerykańskie firmy, które podczas pandemii musiały przejść na pracę zdalną w sieci. Media w USA spekulują, że ingerencja w wybory prezydenckie i elekcję Donalda Trumpa też mogła być wspierana jeśli nie przez EvilCorp, to przez podobne organizacje przestępcze, które wynajmują swoje usługi służbom specjalnym. Być może w tym ataku nie chodziło tylko o pieniądze, ale o dane na temat aktywności różnych osób, których służby Putina łączyły z wywiadami innych krajów lub wojskiem?
Maksima Jakubiec ze swoim Lamborghini Huracan. Fot. National Crime Agency
Jesteśmy bezpieczni?
Właśnie dlatego eksperci od cyberbezpieczeństwa zastanawiają się, czy Garmin nie za szybko chce wrócić na ring, po takim nokaucie. W boksie, po KO, wyznaczana jest odpowiednia karencja, przed kolejnym pojedynkiem na ringu. To czas na wyzdrowienie i zrobienie kolejnych badań. Tu mamy sytuację wymuszoną okolicznościami, bo tak wielka firma o takiej reputacji musiała reagować bardzo szybko. Chwała im za to, że się podnieśli, ale dobrze byłoby powiedzieć otwarcie co się stało i co trzeba poprawić.
Przy czym to nie jest też tak, że przyjęty cios w splot słoneczny od EvilCorp, jakoś słabo świadczy od Garminie. Ta grupa przewracała już niejedną organizację uważaną za doskonale chronioną.
Warto się zastanowić też nad tym, czy ja mam się czym martwić. W najgorszym przypadku ktoś opublikuje mój trening, albo wycieczkę rowerową. Może to być mało ciekawe, jeśli okaże się, że czyjeś ślady od miesiąca wieczorami prowadzą pod tę samą klatkę, w której mieszka blond piękność lub przystojny brunet i nasza druga połówka nabierze podejrzeń. Większość i tak zrzuca to pewnie na Stravę i Endomondo.
Mieliśmy już jednak przypadek, gdy takie fitnesowe informację okazały się cenne dla wywiadów wojskowych. Tak było gdy Strava ujawniła tzw. heat mapy aktywności. Można z nich było odczytać aktywność wokół… tajnych amerykańskich baz wojskowych.
Nie ma się więc co bać na zapas. Na tę chwilę Garmin wraca zwycięski, choć poturbowany, a my możemy w końcu spamować znajomych naszymi osiągnięciami 🙂
Zostaw odpowiedź