Švedijoje pradėtas tyrimas dėl galimo e. valdžios platformos išeities kodo ir kitos jautrios informacijos nutekinimo. Teigiama, kad duomenys galėjo būti paviešinti po incidento, susijusio su „CGI Sverige“ – Švedijoje veikiančia tarptautinės IT konsultacijų ir paslaugų bendrovės „CGI Group“ dukterine įmone.

Vietos žiniasklaida ir kibernetinio saugumo bendruomenės pranešė, kad grėsmių veikėjas, pasivadinęs „ByteToBreach“, esą paskelbė nutekintą medžiagą internete. Apie tai skelbta remiantis dienraščio „Aftonbladet“ informacija.

„CGI Sverige“ „Aftonbladet“ nurodė, kad jų kibernetinio saugumo komanda aptiko incidentą, susijusį su dviem vidiniais testavimo serveriais Švedijoje. Pasak bendrovės, šie serveriai nebuvo naudojami veikiančiose (produkcinėse) sistemose. Įmonė taip pat pripažino, kad buvo prieinama senesnė programos versija ir jos išeities kodas, tačiau tvirtino neturinti požymių, jog būtų paveikti klientų produkciniai duomenys ar paslaugų veikimas.

Bendrovės atstovė spaudai Agneta Hansson patvirtino, kad dėl nutekinimo dirba atsakingos institucijos.

Remiantis „Eurostat“ duomenimis, 2024 m. e. valdžios paslaugomis naudojosi apie 95 proc. iš 10,7 mln. Švedijos gyventojų. Dėl tokio masto bet koks galimas su e. paslaugomis susijusios informacijos nutekėjimas laikomas itin jautriu.

Teigiama, kad tarp paviešintų failų galėjo būti platformos išeities kodas ir konfigūracijų failai, vidinės darbuotojų duomenų bazės, taip pat galimos gyventojų asmens duomenų bazės, elektroninio pasirašymo dokumentai ir kita jautri informacija. Vis dėlto pilnas nutekintos medžiagos turinys nepriklausomai dar nėra patvirtintas.

Ministras patvirtino incidentą

Švedijos civilinės gynybos ministras Carl-Oskar Bohlin patvirtino duomenų nutekėjimą ir nurodė, kad vyriausybė kartu su „CERT-SE“ ir Nacionaliniu kibernetinio saugumo centru siekia nustatyti už incidentą atsakingus asmenis.

IT saugumo ekspertas Anders Nilsson taip pat teigė, kad įsilaužimo pėdsakai atrodo tikri.

„Atrodo, kad yra kelių programų išeities kodas, ir iš to, ką matau, įsilaužimas panašus į tikrą“, – žiniasklaidai rašė A. Nilsson.

Įspėja apie augančias atakas prieš infrastruktūrą

Grėsmių žvalgybos platforma „Threat Landscape“ perspėjo, kad įsilaužėliai vis dažniau taikosi į viešai pasiekiamą kibernetinę infrastruktūrą visoje Švedijoje ir Europoje.

„Tai nėra pavienis incidentas“, – ketvirtadienį paskelbtoje apžvalgoje nurodė platforma.

„ByteToBreach“ yra tas pats veikėjas, atsakingas už „Viking Line“ pažeidimą, apie kurį paskelbta vos diena anksčiau, o tai leidžia įtarti vykstančią kampaniją, nukreiptą į Švedijos ir Europos infrastruktūrą per „CGI“ valdomų paslaugų pėdsaką“, – teigiama pranešime.

Tyrėjai pažymi, kad net jei dalis informacijos būtų pasenusi ar susijusi tik su testavimo aplinka, išeities kodo ar dokumentacijos paviešinimas gali sukelti papildomų rizikų: užpuolikai gali analizuoti kodą ir ieškoti silpnųjų vietų kitose, viešai pasiekiamose sistemose.