Киберпреступление года. В атаке на Garmin обвинили русских хакеров, которых ищет ФБР
Американский производитель профессионального GPS-оборудования и спортивных смарт-часов Garmin подвергся мощнейшей хакерской атаке. Злоумышленники с помощью вируса удерживали компанию в заложниках несколько суток и требовали выкуп — $10 млн. Рассказываем, как разворачивались события самого громкого киберпреступления 2020 года.
Но прежде пара слов о самой компании, поскольку не все, кто слышал про Apple Watch, знают про Garmin. Garmin — это американская компания, которая прежде всего известна спортивными гаджетами вроде пульсометров, фитнес-трекеров и умных часов. На этом поприще компания по сей день уверенно конкурирует с Apple, Huawei и Samsung. В первом квартале 2020 г. Garmin занимала четвёртую по величине долю рынка смарт-часов, уступая только Apple, Huawei и Samsung.
Но, несмотря на это, главным продуктом вендора являются GPS-системы и навигационные сервисы, которыми во многих странах пользуются в воздухе, на земле и на воде. По итогам 2019 г. только на продажи услуг и техники для авиакомпаний пришлось 28% от всей выручки организации. Американская навигация считается одной из лучших. Недаром первым крупным клиентом Garmin в своё время стала армия США.
И что с Garmin приключилось?
В конце прошлой недели, 23 июля, пользователи сервисов и гаджетов Garmin начали сообщать о сбоях. Владельцы смарт-часов, фитнес-трекеров и пульсометров, например, жаловались, что устройства не могут синхронизироваться с серверами и, как следствие, сохранить данные о последних тренировках. В частности, отключились такие службы, как Garmin Connect, Garmin Express, Launcher, Garmin Golf, Garmin Dive и не только.
Впрочем, скоро стало ясно, что сбой затронул и крупных клиентов Garmin. Пилоты стали сообщать о потере доступа к сайту FlyGarmin. Ряд баз данных, обновлять которые лётчиков обязывают требования Федерального управления авиации США, тоже оказался вне доступа. Клиент для прокладки авиамаршрутов Garmin Pilot также рухнул. Упали и Connext Services (прогноз погоды, СМС-отчёты о местоположении) на пару с Garmin Explore (планировщик маршрутов, который работает без Интернета).
Вся эта кутерьма продолжалась несколько дней. Поначалу Garmin пыталась откупиться от любопытствующей публики сообщениями о сбоях, возникших в ряде дежурного технического обслуживания.
We are currently experiencing an outage that affects Garmin Connect, and as a result, the Garmin Connect website and mobile app are down at this time. (1/2)
— Garmin (@Garmin) July 23, 2020
Однако позже через самих же сотрудников компании в Сеть начала просачиваться правда. Например, на Reddit появился пост от анонимного пользователя, который как-то подозрительно правдоподобно рассуждал о заражении компьютеров в офисах Garmin вирусом-вымогателем. Ещё больше рассказ пользователя начал походить на правду после того, как его пост и саму учётную запись удалили с Reddit.
Даже если и вирус, что с того?
О вирусе подробнее расскажем позже, а пока о том, "что с того". Как пишут англоязычные СМИ, часть офисного оборудования вышла из строя по вине зловредного ПО, а другую часть руководство распорядилось обесточить умышленно. Пользоваться компьютерами запретили даже тем сотрудникам, которые работают удалённо. Чтобы замедлить распространение вируса.
Как итог — на несколько суток полностью парализовало работу кол-центров. Техподдержка временно перестала отвечать и по электронной почте. Пользователи, судя по постам в соцсетях, в недоумении. Дальше отрубился и официальный сайт компании. Но самое страшное случилось после — Garmin вынуждена была остановить свои фабрики на Тайване.
С другой стороны, вопрос "что с того" отчасти резонен. Ведь, по данным DownDetector, сильнее всего от сбоя пострадали пользователи из Европы и Австралии. В России, Китае и США, как ни странно, больших проблем с Garmin Connect люди не испытывали. Хотя, судя по записям в Twitter, некоторые российские пользователи до сих пор не имеют доступа к услугам Garmin.
Не так давно я загрузила обновление на часы и они перестали передавать данные беспроводным способом. Я написала в техподдержку, а на следующий день Garmin упал и до сих пор лежит.
— Смотри на цветы (@lussysax) July 27, 2020
Вдруг это я всё сломала?
Что за вирус такой?
Повторимся, официально Garmin до сих пор не подтвердила, что они подверглись хакерской атаке. Однако изданию Bleeping Computer удалось взять интервью у одного из сотрудников компании, который рассеял все сомнения. Как и предполагал ранее ресурс ZDnet, в инфраструктуру Garmin проник вирус-вымогатель Wasted Locker, который первой в марте этого года применила в "бою" хакерская группировка EvilCorp.
Организация Evil Corp известна и под другим названием — Dridex. О происхождении группировки известно немало. По одной из версий, за Evil Corp стоят пресловутые русские хакеры. Которые к тому же ещё и якобы связаны со спецслужбами. Хакеры эти избирательно атакуют только американские компании. И в последнее время действуют по одной и той же схеме: заражают корпоративные компьютеры вирусом-вымогателем и требуют за разблокировку миллионы долларов. Всего за свою карьеру Evil Corp нанесла ущерб американской экономике в размере $100 млн. Разработчики порядком уже надоели властям США, и те готовы выложить $5 млн за одни только сведения об участниках организации.
WastedLocker работает по схеме, схожей с известнейшим WannaCry. Оба зловреда проникают на компьютер, зашифровывают все данные, а после требуют выкуп за ключ для дешифровки. Инфицировать машину программа может практически через любой файл. Будь то PDF, текстовый документ для Word или исполняемый файл вроде JavaScript.
И много вымогают у Garmin?
Согласно данным Bleeping Computer, сотрудники Garmin обнаружили заразу утром прошлого четверга (23 июля 2020 года). Первое, что сделала служба безопасности вендора, — постаралась удалённо выключить все компьютеры сотрудников. Но миссия обернулась провалом и руководство компании спустило распоряжение напрямую. Собственно, именно это и привело к остановке многих сервисов.
На скриншотах, представленных источником издания, видно, что все файлы на заражённых компьютерах получили недвусмысленное разрешение — .garminwasted. Также журналистам удалось выяснить, что "нулевым пациентом" в этой атаке оказался сотрудник из Тайваня. Эта деталь, в свою очередь, объясняет остановку фабрики.
Другой источник Bleeping Computer сообщил, что хакеры требуют выкуп в размере $10 млн.
***
По состоянию на понедельник основные службы Garmin Connect были восстановлены либо частично, либо полностью. Информации о том, как компании удалось отбить атаку хакеров, нет. Впрочем, не стоит исключать и того, что, прикинув убытки от простоя, Garmin решила всё же пойти на уступки Evil Corp.
Впрочем, на этом проблемы компании могут не закончиться. Garmin настаивает, что в рамках сбоя пользовательские данные не были затронуты. Однако, если выяснится обратное, репутация и продажи компании могут сильно пострадать. Ведь, напомним, клиентами Garmin являются не только отдельные пользователи, но и военные, и авиакомпании.
Напомним, в 2018 г. популярное фитнес-приложение Strava случайно раскрыло местоположение военных. Вскоре после этого Пентагон выпустил запрет на использование сервиса среди военнослужащих. Возможно, теперь военным США придётся отказаться и от Garmin.