Kiber támadás érte a céget, ügyféladatok kerültek veszélybe
A Co-op nevű brit kiskereskedelmi lánc ellen elkövetett kibertámadás komolyabb következményekkel jár, mint ahogyan azt a cég korábban jelezte. A támadók, akik a DragonForce néven ismert csoporthoz tartoznak, kapcsolatba léptek a BBC News-szal, és bizonyítékot szolgáltattak arról, hogy sikeresen behatoltak a cég informatikai hálózataiba, és hatalmas mennyiségű ügyfél- és alkalmazotti adatot loptak el. A Co-op szóvivője pénteken elmondta, hogy a hackerek „hozzáfértek egy jelentős számú jelenlegi és korábbi tag adatához”. A vállalat korábban azt állította, hogy „proaktív intézkedéseket” tett a hackerek elhárítására, és hogy a támadásnak „kicsi hatása” van a működésükre. Ezen kívül biztosították a közvéleményt, hogy „nincs bizonyíték arra, hogy az ügyféladatok sérültek volna”.
A hackerek azt állítják, hogy 20 millió ember magánadatait birtokolják, akik a Co-op tagsági programjához csatlakoztak, de a cég nem volt hajlandó megerősíteni ezt a számot. A DragonForce elmondta, hogy felelősek a M&S (Marks & Spencer) ellen folyamatban lévő támadásért, valamint a Harrods elleni megkísérelt hackelésért is. A támadások miatt Pat McFadden kormányzati miniszter figyelmeztette a cégeket, hogy „a kibervédelmet absolút prioritásként kell kezelniük”.
A hackerek a BBC-nek bemutatták az első zsarolóüzenetük képernyőképét, amelyet a Co-op kiberbiztonsági vezetőjének küldtek egy belső Microsoft Teams chaten április 25-én. Az üzenetben az állt: „Helló, elloptuk az adatokat a cégedtől. Van ügyféladatbázisunk, és Co-op tagsági kártya adataink.” Ezen kívül bemutatták egy héttel ezelőtti telefonbeszélgetésük képernyőképét is a biztonsági vezetővel. A hackerek elmondták, hogy más vezetőségi tagoknak is üzentek a zsarolási tervük részeként. A Co-op több mint 2500 szupermarkettel, 800 temetkezési vállalattal és egy biztosítási üzlettel rendelkezik, összesen körülbelül 70 000 alkalmazottal az Egyesült Királyság területén.
A kibertámadást a cég szerdán jelentette be. Csütörtökön kiderült, hogy a Co-op alkalmazottait arra kérték, hogy tartsák bekapcsolva a kameráikat a Teams találkozók során, ne rögzítsenek vagy írjanak át hívásokat, és ellenőrizzék, hogy minden résztvevő valódi Co-op alkalmazott. Ez a biztonsági intézkedés most úgy tűnik, közvetlen következménye annak, hogy a hackerek hozzáfértek a belső Teams chatekhez és hívásokhoz. A DragonForce a BBC-nek olyan adatbázisokat is megosztott, amelyek tartalmazzák az összes alkalmazott felhasználónevét és jelszavát. Ezen kívül 10 000 ügyfél adataiból is küldtek egy mintát, amely tartalmazta a Co-op tagsági kártya számokat, neveket, lakcímeket, e-mail címeket és telefonszámokat.
A BBC megsemmisítette az általa kapott adatokat, és nem tervezte azok közzétételét vagy megosztását. A Co-op tagsági adatbázis rendkívül értékes a vállalat számára. Miután a BBC kapcsolatba lépett a Co-op-pal a hackerek bizonyítékai miatt, a cég nyilvánosságra hozta a megsértés teljes terjedelmét az alkalmazottai és a tőzsde számára. A szóvivő elmondta, hogy az adatok között szerepelnek a Co-op csoport tagjainak személyes adatai, mint például nevek és elérhetőségek, de nem tartalmazzák a tagok jelszavait, bank- vagy hitelkártya adatait, tranzakciókat vagy a tagok vagy ügyfelek által a Co-op csoporttal kapcsolatos termékekkel vagy szolgáltatásokkal kapcsolatos információkat.
A DragonForce célja, hogy a BBC beszámoljon a hackelésről, mivel állítólag pénzt próbálnak zsarolni a cégtől. Azonban a bűnözők nem árulták el, mit terveznek tenni az adatokkal, ha nem kapnak pénzt. Amikor arról kérdezték őket, hogy mit gondolnak arról, hogy ennyi fájdalmat és kárt okoznak a vállalatoknak és az ügyfeleknek, nem válaszoltak. A DragonForce egy zsarolóvírus-csoport, amely ismert arról, hogy titkosítja az áldozatok adatait, és váltságdíjat követel a titkosítás feloldásához szükséges kulcsért. A csoport emellett az adatok ellopásával is próbálkozik zsarolási taktikája részeként. A DragonForce működtet egy partnerségi kibertámadó szolgáltatást, így bárki használhatja a rosszindulatú szoftvereiket és weboldalaikat támadások végrehajtására és zsarolásra.
Nem ismert, hogy ki használja végül a DragonForce szolgáltatását a kiskereskedők támadására, de néhány biztonsági szakértő szerint a megfigyelt taktikák hasonlítanak egy laza koordinációval működő hacker csoport módszereire, amelyeket Scattered Spider vagy Octo Tempest néven ismernek. A banda a Telegram és Discord csatornákon működik, és angolul beszélő fiatalokból áll – egyesek esetében még tinédzserek is. A Co-op hackereivel folytatott beszélgetések szöveges formában zajlottak, de nyilvánvaló, hogy a hacker, aki magát szóvivőként mutatta be, folyékonyan beszélt angolul. A hackerek azt mondják, hogy két tagjuk „Raymond Reddington” és „Dembe Zuma” néven szeretne ismert lenni, az amerikai krimisorozat, a Blacklist karakterei után, amelyben egy keresett bűnöző segít a rendőrségnek más bűnözők elfogásában.
A Co-op közölte, hogy együttműködik a Nemzeti Kiberbiztonsági Központtal (NCSC) és a Nemzeti Bűnüldözési Ügynökséggel (NCA), és sajnálatát fejezte ki amiatt, hogy ez a helyzet kialakult. Az Egyesült Királyság kormányzati tisztviselői találkoztak a kibertámadások ügyében, a nemzeti biztonsági személyzet és a NCSC vezérigazgatója a kiskereskedők támogatásáról tárgyalt. Pat McFadden, aki a kiberbiztonságért felelős miniszter, következő hetvenkét beszédében arról fog beszélni, hogy a támadásoknak „ébresztő hívásként” kell szolgálniuk minden brit vállalkozás számára. „Ahol a kibertámadók folyamatosan profitot keresnek – óránként és naponta próbálkoznak – a cégeknek absolút prioritásként kell kezelniük a kibervédelmet. „Valós időben figyelemmel kísérhettük ezen támadások által okozott zűrzavart – beleértve a dolgozó családokat is, akik mindennapi életüket élik. „Ez egy erőteljes emlékeztető arra, hogy ahogyan soha nem hagynád nyitva az autódat vagy a házadat, miközben dolgozni indulsz, a digitális boltjainkat is ugyanúgy kell kezelni.”
