В январе 2021 года крупный производитель сетевого оборудования и IoT-устройств, компания Ubiquiti Networks, разослал своим клиентам электронные письма с уведомлением о хакерской атаке. Тогда сообщалось, что неизвестные злоумышленники могли получить доступ к информации пользователей UI.com, а жертв просили изменить пароли и включить двухфакторную аутентификацию.
На этой неделе известный ИБ-журналист и исследователь Брайан Кребс опубликовал статью, в которой он цитирует анонимного информатора, близкого к расследованию инцидента. Информатор назвал случившееся "катастрофическим", а также поделился копией письма, которое было направлено в европейские органы по защите данных. В документе Ubiquiti Networks обвиняют в сокрытии данных о серьезности случившегося.
Аноним говорит, что еще в декабре 2020 года неизвестный хакер сумел взломать административный аккаунт компании в Amazon Web Services (AWS) и приступил к загрузке исходного кода компании, установке малвари, а также получил доступ к данным клиентов. Когда в Ubiquiti Networks обнаружили атаку и удалили один из бэкдоров злоумышленника, тот потребовал выкуп в размере 50 биткоинов и за эти деньги пообещал рассказать, где спрятан второй бэкдор, молчать о взломе и не «сливать» исходные коды, которые украл у компании.
Компания отказалась платить выкуп, самостоятельно обнаружила и удалила второй бэкдор, сбросила все учетные данные сотрудников и в итоге выпустила январское письмо, информировавшее об атаке.
Теперь производитель опубликовал новое заявление, в котором отреагировал на информацию Кребса и раскрыл некоторые детали случившегося. В частности, в компании подтвердили, что Ubiquiti Networks стала жертвой попытки вымогательства. Но более ничего. Официальные лица не подтверждают кражу исходных кодов, более серьезные масштабы атаки и отрицают хищение информации клиентов.
«Злоумышленник, который безуспешно пытался вымогать у компании деньги, угрожая слить украденный исходный код и определенные учетные данные, никогда не заявлял, что имел доступ к какой-либо информации о клиентах», — пишут в компании.
Кроме того, в заявлении не затронут еще один важный нюанс, о котором говорил источник Кребса: что у компании не было никакой системы логгинга, и сотрудники даже не смогли определить, к чему именно получил доступ хакер.
Опасения относительно того, что хакер мог похитить сертификаты и файлы, позволяющие получить доступ к пользовательским устройствам Ubiquiti, так же не удостоились комментариев.
Единственное важное заявление, которое сделала теперь компания, гласит, что у них есть «проработанные доказательства того, что злоумышленник был хорошо знаком с облачной инфраструктурой [Ubiquiti Networks]».
