Както писахме още в неделя, Nokia разследва предполагаема кибератака, при която евентуалните извършители твърдят, че са откраднали чувствителни вътрешни данни. Компанията обаче твърди, че до момента няма доказателства, че нейните данни или системи са били засегнати от пробив.
Известният киберпрестъпен екип IntelBroker във вторник е публикувал онлайн това, което твърди, че са вътрешни данни на Nokia – включително SSH ключове, изходен код и вътрешни идентификационни данни – като ги е обявил за продажба в сайта за киберпрестъпления BreachForums за 20 000 USD, според публикуван доклад на HackRead.
Групата твърди, че се е сдобила с данните чрез пробив на трета страна – изпълнител, свързан с разработването на вътрешни инструменти на Nokia, въпреки че според доклада изглежда, че пробивът не е засегнал данни на клиенти.
„Nokia е наясно с докладите, че неоторизиран хакер твърди, че е получил достъп до определени данни на изпълнител от трета страна и вероятно до данни на Nokia“, казва говорител на Nokia пред Dark Reading. „Nokia приема това твърдение сериозно и ние провеждаме разследване.“
Към момента обаче разследването на компанията „не е открило доказателства, че някоя от нашите системи или данни е била засегната“, въпреки че Nokia продължава „да следи ситуацията отблизо“, казва говорителят.
Група, известна с високопоставени кражби на данни
Като се има предвид, че IntelBroker е известна група за заплахи, която вече е извършила редица кражби на данни на високо ниво, вероятността Nokia в крайна сметка да установи, че данните ѝ са били откраднати, изглежда вероятна. Базираната в Сърбия структура започва дейността си през 2022 г. и е свързана с нарушения на сигурността на данните, засегнали Apple, Камарата на представителите на САЩ, Европол, General Electric и DARPA (Агенцията за перспективни изследователски проекти в областта на отбраната).
Ако твърдението на IntelBroker се окаже вярно, данните, откраднати при обира и след това продадени на злонамерена страна или страни, потенциално могат да бъдат използвани за участие в други киберпрестъпни дейности срещу Nokia. Например, откраднати с помощта на идентификационни данни за получаване на неоторизиран достъп до системите на Nokia и нарушаване на други чувствителни данни или разпространение на зловреден софтуер. В зависимост от естеството на данните, други организации също биха могли да бъдат изложени на риск.
Инцидентът показва и още един пример за това как организациите са изложени на рискове за сигурността чрез трети страни, които сключват договори с компанията, отбелязва Джим Рут, главен служител по доверието във фирмата за киберсигурност Saviynt. Въпреки това фактът, че самият пробив е станал чрез трета страна, не е голяма изненада, казва той пред Dark Reading по електронната поща.
Намаляване на риска от трети страни
Всъщност многобройни високопрофилни кибератаки в глобални мултинационални организации са резултат от пробиви чрез трети страни, включително инциденти, случили се в компанията за кредитни карти American Express, испанската банкова институция Santander и американската финансова организация Bank of America.
Въпреки това, Рут казва, че предполагаемият пробив в Nokia „е малко труден“, тъй като включва компрометиране на „идентификационни данни на трети страни за достъп до веригата за доставка на софтуер“.
„Недоумението идва от това защо трета страна има достъп до изходния код на Nokia“, отбелязва той. Възможно е обаче нападателите да са получили достъп чрез софтуерен инженер, допринасящ за вътрешен проект, добавя Рут, като предполага, че хакерите са използвали „управление на пълномощията за достъп до процеса на създаване на софтуер“.
Той казва, че един от потенциалните начини, по които организациите могат да се предпазят от подобен инцидент, е да подобрят управлението на идентичността за акаунти в облака с достъп до веригата за доставка на софтуер, за да се избегне неволно излагане на чувствителни данни на участници в заплахи.
