Платформата за итни аларми CodeRED исклучена поради сајбер-напад

Бандата за рансомвер Inc ја презеде одговорноста за нападот претходно овој месец, тврдејќи дека украла чувствителни податоци за претплатници.

Сајбер-напад врз компанијата за управување со ризици Crisis24 претходно овој месец ја принуди компанијата да ја исклучи платформата за итни известувања CodeRED, предизвикувајќи силни потреси низ градските, окружните и државните агенции за време на празникот Ден на благодарноста.

Платформата OnSolve CodeRED е доброволен систем кој испраќа итни известувања и аларми за градски, окружни и државни владини агенции, и не треба да се меша со Emergency Alert Service (EAS) кој го управува федералната влада. Клиентите ја користат платформата за да испраќаат предупредувања до жителите преку телефонски повици, е-пошта и СМС во ситуации како временски непогоди или прекини на владините услуги.

Во објава објавена во средата, матичната компанија на Crisis24, GardaWorld Corporation, соопшти дека ја суспендирала целата пристапност до платформата на 10 ноември како одговор на пробивање на CodeRED околината. „Бидејќи платформата OnSolve CodeRED беше оштетена за време на сајбер-нападот, ја деактивиравме платформата,“ пишува во соопштението. „Исто така, потврдивме дека инцидентот беше ограничен само на таа околина, без ширење понатаму. Сите клиенти во меѓувреме преминаа на новата CodeRED платформа на Crisis24.“

Рансомвер бандата Inc ја презеде одговорноста за нападот претходно овој месец преку објава на нивниот Dark Web leak сајт. Според нив, нападот започнал со стекнување пристап до CodeRED околината на 1 ноември, а на 10 ноември тие ги енкриптирале датотеките на платформата.
Оперативците на Inc исто така тврдат дека за време на преговорите за откупнина, Crisis24 понудиле исплата од 100.000 долари, која била одбиена. Како резултат, групата изјави дека ги става украдените податоци на продажба и на 23 ноември објавила примероци.

Соопштението на GardaWorld признава дека „сајбер-криминална група“ ја презела одговорноста за нападот и дека компанијата верува дека заканувачките актери украле податоци од платформата кои „можеби содржат информации за претплатници на OnSolve CodeRED.“ Компанијата исто така рече дека сè уште не е потврдено дали објавените примероци навистина потекнуваат од CodeRED.

Dark Reading се обрати до Crisis24 за коментар, но компанијата не одговори до моментот на објавување.

Реакции на државните агенции по нападот врз CodeRED

Crisis24 изјави дека ги известила државните, окружните и општинските влади „наскоро“ по потврдата дека CodeRED околината е компромитирана, но некои клиенти изгледа биле затечени и јавно го изразиле своето незадоволство од компанијата.

На пример, Одделот за комуникации за јавна безбедност на округот Велд, Колорадо, на 14 ноември соопшти дека бил известен три дена претходно дека CodeRED е исклучен поради загриженост од ИТ-одделот на Crisis24. „Нема понатамошни ажурирања од CodeRED, ниту пак претставникот на CodeRED за округот Велд одговорил на телефонските повици или е-поштите,“ се наведува во нивното соопштение.

Како и другите засегнати клиенти, Одделот за јавна безбедност на округот Велд ги информираше жителите дека прекинот на CodeRED не влијае на работата на 911 или на итните служби.

Додека Crisis24 ги префрлуваше клиентите на новата CodeRED платформа — за која GardaWorld изјави дека „се наоѓа во неккомпромитирана, одделна околина што поминала сеопфатна безбедносна ревизија“ — некои клиенти не веруваа во тоа. Шерифската канцеларија на округот Даглас, Колорадо, на 24 ноември објави соопштение дека ја напушта платформата.

„Шерифската канцеларија на округот Даглас, во соработка со Одборот на 911, презеде итна акција да го раскине договорот со CodeRED со причина. Наш највисок приоритет е приватноста и заштитата на нашите граѓани, што ја доведе до одлуката да го прекинеме договорот,“ стои во соопштението.

Шерифската канцеларија исто така го вклучи текстот од известувањето испратено од Crisis24, во кое се предупредува дека напаѓачите „отстраниле“ чувствителни податоци од платформата, вклучувајќи имиња на претплатници, адреси, е-пошта, телефонски броеви и лозинки за нивните CodeRED сметки.

Општините Честерфилд и Гошен, Масачусетс, во јавно соопштение рекоа дека државниот Commonwealth Fusion Center — центар за споделување разузнавачки информации — го истражува нападот врз CodeRED. Во соопштението се напоменува и дека примероците на податоци објавени од Inc рансомвер групата покажуваат дека лозинките се во обичен текст, што значи дека Crisis24 не ги енкриптирала или не ги хеширала.

Намалување на ризиците за претплатниците на CodeRED

Доколку актерите од групата Inc добиле лозинки во отворен текст за корисничките профили на претплатниците на CodeRED, тоа претставува значителен ризик за тие лица, дури и ако платформата е исклучена и наводно недостапна за заканувачите кои би ги користеле тие лозинки.
Прво, напаѓачите би можеле да испраќаат лажни аларми и известувања до корисниците и да ги користат украдените лозинки за да ги убедат жртвите дека пораките се легитимни, што дополнително би можело да им овозможи да ја злоупотребат таа доверба.

Дополнително, GardaWorld ги истакна опасностите од повторна употреба на истата лозинка.
„Ги охрабривме нашите клиенти да ги информираат претплатниците кои можеби ја користеле истата лозинка за OnSolve CodeRED и за други лични или деловни профили, веднаш да ги променат тие лозинки“, стои во нивното објавено соопштение.

Неколку клиенти на CodeRED ги повикаа своите жители да преземат итни мерки. На пример, локалната власт на Сиу Сити на 28 ноември објави препорака сите претплатници на CodeRED кои можеби користеле иста лозинка за други профили – е-пошта, банкарство, купување или корпоративни сервиси – веднаш да ги ажурираат тие лозинки.
Советот исто така препорача корисниците да овозможат повеќефакторска автентикација (MFA) „каде што е можно“ и редовно да ги следат своите сметки за сомнителна активност.

Извори:

• DarkReading– CodeRED Emergency Alert Platform Shut Down Following Cyberattack DarkReading