Grėsmių veikėjas teigia paviešinęs išeities kodą ir kitą jautrią informaciją, kuri, pasak jo, gauta iš „CGI Sverige“ – Švedijoje veikiančios tarptautinės IT konsultacijų ir paslaugų perdavimo bendrovės „CGI Group“ dukterinės įmonės.

Ketvirtadienį kibernetinio saugumo paskyros platformoje „X“ ir vietos žiniasklaida pranešė, kad grėsmių veikėjas, pasivadinęs „ByteToBreach“, šią medžiagą paskelbė internete. Apie tai informavo Švedijos naujienų leidinys „Aftonbladet“.

„CGI“ „Aftonbladet“ nurodė, kad įmonės kibernetinio saugumo komanda aptiko incidentą, susijusį su dviem vidiniais testiniais serveriais Švedijoje, kurie nebuvo naudojami produkcinėje aplinkoje. Bendrovė teigė, jog buvo pasiekiama senesnė programos versija ir jos išeities kodas, tačiau nėra požymių, kad būtų paveikti klientų produkciniai duomenys ar veikiančios paslaugos. „CGI“ spaudos sekretorė Agneta Hansson patvirtino „Aftonbladet“, kad institucijos tiria šį nutekinimą.

Remiantis „Eurostat“ duomenimis, 2024 m. apie 95% iš 10,7 mln. Švedijos gyventojų naudojosi elektroninėmis valdžios paslaugomis.

Teigiama, kad nutekintuose failuose gali būti platformos išeities kodas ir konfigūracijos failai, vidinė darbuotojų duomenų bazė, gyventojų asmens duomenų bazės, elektroninio pasirašymo dokumentai ir kita jautri informacija.

„Cointelegraph“ kreipėsi į „CGI Group“ ir Švedijos nacionalinį IT incidentų centrą „CERT-SE“, prašydami pakomentuoti pranešimus apie galimą nutekinimą.

Švedijos civilinės gynybos ministras patvirtino kibernetinio saugumo incidentą

Švedijos civilinės gynybos ministras Carl-Oskar Bohlin patvirtino duomenų nutekinimą ir teigė, kad vyriausybė kartu su „CERT-SE“ bei Nacionaliniu kibernetinio saugumo centru siekia nustatyti atsakingus asmenis.

IT saugumo ekspertas Anders Nilsson patvirtino, kad įsilaužimo metu paveikti ištekliai atrodo autentiški.

„Atrodo, kad egzistuoja kelių programų išeities kodas, ir iš to, ką matau, įsilaužimas atrodo tikras“, – rašė Anders Nilsson laiške žiniasklaidos priemonei SVT.

Įsilaužėliai taikosi į Švedijos ir Europos infrastruktūrą

Grėsmių žvalgybos platforma „Threat Landscape“ perspėjo, kad įsilaužėliai vis dažniau taikosi į viešai pasiekiamą kibernetinę infrastruktūrą visoje Švedijoje ir Europoje.

„Tai nėra pavienis incidentas“, – teigė „Threat Landscape“ ketvirtadienį paskelbtoje ataskaitoje.

„ByteToBreach“ yra tas pats veikėjas, atsakingas už „Viking Line“ pažeidimą, apie kurį buvo paskelbta vos diena anksčiau, o tai leidžia manyti, kad vykdoma tęstinė kampanija, nukreipta į Švedijos ir Europos infrastruktūrą per „CGI“ valdomų paslaugų pėdsaką“, – teigė „Threat Landscape“.

Grėsmių veikėjas tvirtino nutekinęs visą e. valdžios platformos išeities kodą ir pateikė keletą tai esą pagrindžiančių medžiagų.

Grėsmių žvalgybos tyrėjai pažymėjo, kad toks nutekinimas gali sukelti papildomų rizikų ir vėliau, jei užpuolikai pasinaudotų paviešintu kodu ar dokumentacija ieškodami silpnųjų viešai pasiekiamų sistemų vietų. Vis dėlto pabrėžiama, kad visas paskelbto duomenų rinkinio turinys nepriklausomai dar nebuvo patvirtintas.