Айтишники поработают на разведку: как США заподозрили Россию в подготовке кибератак

Программные заявления

Федеральное бюро расследований, Агентство по кибербезопасности и безопасности инфраструктуры, Агентство национальной безопасности США, Служба военной контрразведки и Центр экстренного реагирования на инциденты информационной безопасности Польши, а также Национальный центр кибербезопасности Великобритании пришли к выводу, что хакерская группировка АРТ 29 (также известная, как Cozy Bear и Midnight Blizzard) с сентября 2023 года в «больших масштабах» использует CVE-2023-42793 — уязвимость ПО компании JetBrains TeamCity. Об этом говорится в сообщении, опубликованном 13 декабря на сайте Агентства по кибербезопасности и безопасности инфраструктуры США (CISA). Эта организация и ее партнеры считают, что АРТ 29 действует в интересах Службы внешней разведки (СВР) России. Целью хакеров являются серверы, на которых установлено ПО TeamCity — программа используется при разработке софта. Получив доступ к TeamCity, злоумышленники способны нарушить процесс разработки ПО, а в дальнейшем атаковать и цепочки поставок. 

По данным CISA, число пострадавших от этих действий «не слишком большое» — несколько десятков компаний из США, Европы, Азии и Австралии, а также более сотни скомпрометированных устройств. Среди пострадавших — энергетическая торговая ассоциация, поставщики ПО для платежей, медицинских приборов, обслуживания клиентов, управления персоналом и др. Хакеры могли обеспечить себе постоянный и долгосрочный доступ ко взломанным средам, допускает CISA.

«Мы воздерживаемся от комментария подобного сообщения», — ответили Forbes в пресс-бюро СВР.

Национальная база данных уязвимостей (NVD) относит CVE-2023-42793 к критическим уязвимостям. В программе JetBrains TeamCity до версии 2023.05.4 была возможность обойти аутентификацию и дистанционно запустить вредоносный код на сервере с TeamCity, следует из описания на сайте NVD. 

Эту же уязвимость, по данным Microsoft, с октября 2023 года используют группы Diamond Sleet и Onyx Sleet, связанные с Северной Кореей. В Microsoft уверены, что эти группы провели успешные атаки на цепочки поставок ПО, проникнув в среды сборки.

Уязвимость была обнаружена в сентябре 2023 года независимой группой исследователей, сообщил Forbes CEO JetBrains Максим Шафиров. «JetBrains немедленно выпустила обновление TeamCity, устраняющее уязвимость, и разослала уведомление пользователям, после чего исследователи опубликовали детали уязвимости. Такой процесс является стандартом индустрии для всех поставщиков ПО», — уточнил он. Для пользователей важно своевременно обновлять версии используемого ПО в соответствии с рекомендациями вендоров, чтобы избежать компрометации сетевой инфраструктуры и данных со стороны злоумышленников, указывает Шафиров.

В ответ на вопросы Forbes о том, какие последствия будет иметь эта ситуация для компании и будет ли она добиваться возмещения ущерба от действий хакеров, Максим Шафиров ответил: «Ситуация, к сожалению, не является уникальной. JetBrains действовал в строгом соответствии с индустриальными стандартами, и негативных последствий для компании не ожидается. Инфраструктура самой JetBrains атакована не была, и никакие пользовательские данные в руки злоумышленников не попадали». 

Эта угроза не касается разработки на языке Kotlin, созданном JetBrains, заверяет Шафиров. «Уязвимость существовала только в продукте TeamCity. На данный момент угрозе подвержены только серверы TeamCity, которые не были своевременно обновлены клиентами», — сообщил Шафиров. Он не стал пояснять, можно ли трактовать активность хакеров как ответ на уход JetBrains с российского рынка, а также связывает ли он действия «российских» и «северокорейских» хакеров. «Домыслы — это не ко мне», — ответил Шафиров.

По словам руководителя службы безопасности JetBrains Ярослава Русских, менее 2% пользователей TeamCity все еще работают на непропатченном ПО. Эта уязвимость касается решений, которые установлены в локальной инфраструктуре (on-premise), а облачная версия ПО не затронута, уточнил он.

JetBrains основана российскими программистами Сергеем Дмитриевым, Евгением Беляевым и Валентином Кипятковым в Праге в 2000 году. В 2022 году Forbes оценил состояние Сергея Дмитриева в $4,1 млрд, а состояние Валентина Кипяткова - в $2,9 млрд. У JetBrains был офис в Санкт-Петербурге, где в 2020 году работало около 700 человек. В 2022 году в ответ на «спецоперацию»* на Украине компания начала сворачивать деятельность в России, а в декабре 2022 года объявила о приостановке R&D (исследований и разработок) в стране, а также продаж продуктов и услуг в России и Белоруссии. По всему миру у JetBrains, по собственным данным, около 3 млн клиентов, включая таких крупных, как United Airlines, Citibank, Ubisoft, HP, Nike и Ferrari.

Общими усилиями

TeamCity — это софт для совместной разработки ПО, реализации процессов непрерывной интеграции и доставки ПО (CI/CD-платформа), рассказывает гендиректор Security Vision Руслан Рахметов. В софте поддерживаются локальные и облачные установки, системы контейнеризации. По его словам, TeamCity поддерживает большое число языков программирования и в целом пользуется популярностью. 

Обычно серверы для сборки/развертывания находятся внутри защищенного контура, с доступом только в рамках внутрикорпоративной сети: чтобы воспользоваться уязвимостью, сначала нужно туда пробиться, отмечает бывший вице-президент и СТО «Ренессанс Банка» Андрей Саломатин.

Так как в TeamCity хранятся пароли, ключи для доступа к серверам, то это очень серьезная проблема: злоумышленники могут получить полный доступ к серверам компании, которые используются в TeamCity, обращает внимание ведущий инженер CorpSoft24 Михаил Сергеев: «Рекомендуется сменить все доступы и пока не использовать сервис, если уязвимость продолжает эксплуатироваться».

Компаниям, которые не установили патч, необходимо закрыть доступ в интернет сервера TeamCity, предупреждает Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар». Далее необходимо «ждать патч и зависимости, которые брались в интернете, перетаскивать в свой контур и использовать их офлайн». «Если все зависимости внешние, то это достаточно трудоемкая работа, которая может парализовать на время процессы разработки», — считает Прокофьев. Процесс разработки не парализуется, но может существенно замедлиться, потому что ранее автоматизированные процессы придется запускать вручную, считает директор центра мониторинга и реагирования UserGate Дмитрий Кузеванов.

В России программа TeamCity применяется в различных компаниях, возможно, включая госбанки и корпорации. Они публикуют вакансии на hh.ru с упоминанием TeamCity в составе своей инфраструктуры, а также ожидают у кандидатов навыков работы с этим ПО. Как пояснила представитель «Ростелекома», чья дочерняя компания «РТ-Лабс» опубликовала на hh.ru вакансию архитектора для сайта «Госуслуги» со знанием TeamCity, этот программный продукт указан в перечне желаемых навыков специалиста как один из инструментов, похожих на Maven и Gradle. «Мы не используем TeamCity, но его знание поможет специалисту в адаптации тех инструментов, которые используем мы», – сообщили Forbes в «Ростелекоме». Представитель «Сбера», где ожидают от потенциальных кандидатов на вакансию старшего дата-инженера практический опыт работы с TeamCity, сообщила, что Сбербанк не использует данный продукт в своей работе.

«JetBrains оперативно закрыла уязвимость патчем, а мы оперативно этот патч поставили себе. Так что «Контур» никак не пострадал, в безопасности», — говорит технический директор СКБ «Контур» Артем Прескарьян.

Технический директор Swordfish Security Антон Башарин сообщил Forbes, что компания не применяет TeamCity для целей сборки и продуктивного использования. Это решение, по его словам, развернуто в компании «в рамках среды тестирования интеграции различных инструментов и находится во внутреннем контуре компании». «Так что для нас по большому счету эта уязвимость не несет никакой опасности или сложности, поскольку инструмент не используется для каких-либо целей, кроме тестовых, и не содержит ни учетных записей, ни реальной информации», — сообщил Башарин. Он отметил, что эту уязвимость можно эксплуатировать только при прямом доступе к TeamCity, то есть инструмент должен был быть доступен из интернета. У Swordfish Security вся инфраструктура разработки находится за VPN, и прямого доступа к ней нет, пояснил он. «Уязвимость, судя по всему, эксплуатирует российская хакерская группировка АРТ 29, поэтому мы сомневаемся, что ее цель — российские компании», — отметил Антон Башарин.

По данным Shadowserver Foundation, свыше 730 серверов TeamCity до сих пор уязвимы для атак, отмечает руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров: «Использование для совершения атаки известной уязвимости — это камень в огород ИБ-службам пострадавших компаний, которые знали о рисках, но заранее не предприняли шаги по ее нивелированию».

«Опасная втройне уязвимость»

Уязвимость в TeamCity опасна втройне, считает руководитель отдела анализа кода Angara Security Илья Поляков. «В силу привилегированности получаемого доступа, благодаря чрезвычайной простоте эксплуатации даже малоквалифицированным злоумышленником, и как средство проведения атаки на цепочку поставок, — говорит он. — Последнее свойство уязвимости потенциально позволяет скомпрометировать все разрабатываемое компанией-жертвой ПО, а значит, и его пользователей, аналогично прогремевшей несколько лет назад атаке на SolarWinds».

Представитель Angara Security также констатирует наличие в открытом доступе инструментов взлома уязвимых серверов TeamCity с сентября 2023 года. В то же время в этой компании не заметили «волны соответствующих инцидентов в российском сегменте». «Это связано, в первую очередь, с тем, что JetBrains остановила продажи в России и Беларуси в марте 2022 года, и у пользователей этой системы было достаточно времени на миграцию на альтернативы. Прежде всего на бесплатный опенсорсный Gitlab Community Edition, позволяющий организовать сборку проектов, в том числе и на языке Kotlin как наиболее популярном в сфере разработки приложений для ОС Android», — считает Поляков. 

На рынке существуют десятки решений, которые могут являться альтернативой TeamCity, считает Кузеванов. Среди них, по словам Прокофьева, Jenkins, Azure Devops Server. Бедеров к этому добавляет CircleCI, Travis CI. Саломатин в качестве альтернативы TeamCity называет свободно распространяемое ПО Аnsible AWX.

* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.