Взлом Klue затронул Huntress, HackerOne и ещё три компании в сфере кибербезопасности

Взлом Klue затронул Huntress, HackerOne и ещё три компании в сфере кибербезопасности

Взлом платформы рыночной аналитики Klue спровоцировал цепной инцидент с утечкой данных в цепочке поставок компаний кибербезопасности, затронувший одни из самых узнаваемых имён в отрасли. Huntress, HackerOne, Jamf, Recorded Future и Tanium подтвердили, что кража данных стала прямым следствием предыдущего компрометации Klue. Этот случай — жёсткое напоминание о том, что даже организации, чья бизнес-модель целиком построена на защите других, могут пострадать от поставщика, которому они доверяли.

Какие компании пострадали и какие данные были украдены

Пять подтверждённых жертв охватывают широкий спектр сектора кибербезопасности. Huntress специализируется на управляемом обнаружении и реагировании для малого и среднего бизнеса. HackerOne управляет одной из самых популярных в мире платформ для программ bug bounty и раскрытия уязвимостей. Jamf специализируется на управлении устройствами Apple для корпоративных клиентов. Recorded Future — известный поставщик аналитики киберугроз. Tanium обеспечивает масштабное управление конечными точками и их безопасность.

Все пять являются клиентами Klue. Klue — это платформа рыночной аналитики, помогающая компаниям отслеживать действия конкурентов и обычно собирающая данные из целого ряда подключённых бизнес-инструментов. Именно эта взаимосвязанность сделала её ценной мишенью. Поскольку у Klue были авторизованные интеграции с системами клиентов, взлом Klue мог быть использован как плацдарм для проникновения в среды этих клиентов без прямой атаки на них.

Конкретные украденные у каждой компании данные не были полностью раскрыты, но инцидент затронул клиентские бизнес-системы, а не чисто внутреннюю операционную инфраструктуру.

Как взлом Klue превратился в атаку на цепочку поставок вендоров безопасности

Механика того, как инцидент перекинулся с одной исследовательской компании на пять компаний кибербезопасности, наглядно показывает, почему атаки на цепочку поставок стали столь привлекательными для злоумышленников. Вместо того чтобы пытаться напрямую взломать защищённого вендора безопасности, атакующий компрометирует более уязвимую восходящую цель, у которой уже есть ключи.

В случае Klue вектор атаки включал уязвимость OAuth, позволившую хакерской группировке получить несанкционированный доступ к подключённым данным Salesforce CRM. Как рассказывалось в предыдущем материале о взломе Klue через OAuth, позволившем украсть данные Salesforce CRM, группировка, известная как «Icarus», использовала эту уязвимость аутентификации, чтобы переместиться в среды Salesforce нескольких клиентов Klue. Попав в эти CRM-системы, атакующие получили доступ к структурированным бизнес-данным, которые компании обычно считают крайне чувствительными: записи о клиентах, информация о воронке продаж, история сделок и контактные данные.

Это классическая компрометация цепочки поставок. Организации-жертвы не сделали ничего технически неправильного в защите собственной инфраструктуры. Их уязвимость полностью проистекала из доверия к третьей стороне, которая, в свою очередь, не смогла должным образом защитить управляемые ею OAuth-интеграции.

Почему компании в сфере безопасности — привлекательная цель для злоумышленников

Может показаться нелогичным, что злоумышленники целенаправленно атакуют компании в сфере кибербезопасности. В таких организациях работают эксперты-практики, у них выстроены зрелые программы безопасности, и часто именно они создают инструменты, используемые для обнаружения и реагирования на атаки.

Но эта экспертиза может обернуться и обратной стороной. Компании безопасности хранят чрезвычайно чувствительные данные. Платформа HackerOne, например, находится на стыке исследований уязвимостей и корпоративного раскрытия информации. Recorded Future агрегирует аналитику угроз, которая в чужих руках может раскрыть, что защитники знают и чего не знают об активных угрозах. Huntress обладает глубокой видимостью сетей тысяч малых предприятий. Противник, получивший доступ к любой из этих систем, получает не только данные, но и стратегическую информацию о более широкой экосистеме безопасности.

Более того, вендоры безопасности часто глубоко интегрированы в среды клиентов именно потому, что их продуктам для работы нужен привилегированный доступ. Такая интеграция увеличивает поверхность атаки, а не уменьшает её. Компании, ставшие мишенью в инциденте с Klue, были скомпрометированы не через собственные продукты, но ценность того, к чему можно было получить доступ через их CRM-системы, вероятно, была достаточно высокой, чтобы оправдать усилия.

Эта схема напоминает и другие громкие инциденты с цепочками поставок, где промежуточные вендоры служили точкой входа в хорошо защищённые организации. Платформы рыночных исследований и конкурентной разведки, которые регулярно подключаются к CRM и инструментам продаж для сбора и анализа данных, представляют собой новую категорию риска, которой многие службы безопасности исторически не уделяли приоритетного внимания при оценке поставщиков.

Что это значит для вас

Если вы работаете в одной из пострадавших компаний или взаимодействуете с ними, первый шаг — проверить, находились ли данные вашей учётной записи или деловая информация в средах Salesforce, к которым был получен доступ. Свяжитесь напрямую с вендором и запросите уточнения, какие именно категории данных были раскрыты.

В более широком смысле этот инцидент подкрепляет несколько конкретных практик для любой организации, оценивающей собственное подверженность рискам:

• Регулярно проводите аудит OAuth и сторонних интеграций. Любая платформа, имеющая разрешение подключаться к вашей CRM, электронной почте или бизнес-инструментам, обладает доверительными отношениями, которые необходимо пересматривать и ограничивать минимально необходимыми разрешениями.
• Агрессивно сегментируйте доступ. Поставщики должны получать доступ только к тем данным, которые нужны для выполнения их конкретной функции. Инструменту рыночной аналитики, которому нужны данные для отслеживания конкурентов, не требуется полный доступ к CRM.
• Применяйте стратегии эшелонированной защиты во всём стеке поставщиков. Ни одного элемента управления безопасностью недостаточно. Сочетание мониторинга, контроля доступа и обнаружения аномалий в интеграциях с поставщиками уменьшает радиус поражения при любой отдельной компрометации.
• Рассматривайте список поставщиков как часть своей поверхности атаки. Каждый SaaS-инструмент, к которому подключается ваша организация, — потенциальная точка входа. Периодическая проверка того, какие поставщики и с какими учётными данными имеют доступ, может выявить неожиданную уязвимость раньше, чем это сделает злоумышленник.

Инцидент с Klue — полезный кейс, показывающий, как атаки на цепочки поставок работают на практике. Злоумышленникам не нужно было побеждать Huntress или HackerOne на их собственном поле. Они нашли более слабую точку входа, использовали её и собрали то, что там находилось. Для пользователей, заботящихся о конфиденциальности, и организаций, осознающих вопросы безопасности, урок состоит в том, что ваша защищённость настолько сильна, насколько сильно самое слабое звено в экосистеме ваших поставщиков. Проверка этих соединений сейчас, до следующего инцидента, — самое практичное, что может сделать любая организация.