SIKKERHET

Kaseya anklages for å ha slurvet med sikkerheten

Eks-ansatte varslet om kritiske sårbarheter ved flere anledninger.

Ansatte slo alarm om laber sikkerhet i Kaseyas programvare, men ble ikke hørt, ifølge Bloomberg. Kanskje angrepet mot Coop og mer enn tusen andre virksomheter kunne vært unngått?
Ansatte slo alarm om laber sikkerhet i Kaseyas programvare, men ble ikke hørt, ifølge Bloomberg. Kanskje angrepet mot Coop og mer enn tusen andre virksomheter kunne vært unngått? Illustrasjon: Dado Ruvic, Reuters
12. juli 2021 - 14:39

Miami-baserte Kaseya Ltd. får et kritisk søkelys rettet mot seg etter at programvaren deres ble utnyttet i et av tidenes største løsepengevirusangrep.

I perioden 2017 til 2020 skal ansatte en rekke ganger ha varslet internt om flere kritiske sårbarheter i Kaseya VSA, som er selskapets verktøy for fjernadministrasjon av datamaskiner.

Bekymringene falt imidlertid på døve ører, ifølge fem tidligere utviklere i Kaseya som Bloomberg har snakket med.

Flere av dem hevder å ha sagt opp i frustrasjon, eller fått sparken, etter å ha varslet om kritikkverdige forhold gjentatte ganger.

Kildene forteller om utdatert programvare og bruk av svake passord og svak kryptering i selskapets produkter og servere, inkludert påstått mangelfull oppdatering av egne systemer.

Kaseya har ikke ønsket å kommentere påstandene fordi de involverer personell eller fordi hackingen er gjenstand for en pågående politietterforskning.

VSA-produktet hadde så foreldet kode at programvaren burde ha vært kastet på skraphaugen, mener en av de fem intervjuede eks-ansatte, som alle er anonymisert av Bloomberg av hensyn til inngåtte taushetsavtaler eller frykt for at uttalelsene kan skade deres videre karriere.

Kaseya skal i 2018 ha outsourcet til Minsk, hovedstaden i Hviterussland, der de rekrutterte mer enn 40 utviklere som tok over arbeid som tidligere ble utført i USA. Fire av de fem kildene mener at også dette potensielt kan påvirke sikkerheten i negativ retning, med tanke på landets nære politiske bånd til Russland.

Et lappeteppe med utdatert kode

Også åpne ekspertkilder tegner et ufordelaktig bilde av Kaseya og det hackede produktet.

Kildekoden skal ha fremstått som et lappeteppe av forskjellige programmeringsspråk, og i hvert fall deler av koden var utdatert og uegnet for bruk i en moderne IT-plattform for fjernadministrasjon av datasystemer.

Det mener gründer Marcus Murrey i det svenske sikkerhetsselskapet Truesec, som både har analysert verktøyet og bistått flere kunder som nylig ble rammet av løsepengeangrep gjennom sikkerhetsbruddet i Kaseya.

– Vi fant mange ulike kategorier av utnyttbare sårbarheter i Kaseyas VSA-produkt, noe som indikerer en mangelfull forståelse for grunnleggende sikkerhet ved programvareutvikling, konstaterer Murray.

Telenor selger sin virksomhet i Pakistan.
Les også

Telenor selger datterselskap i Pakistan for 5,3 milliarder

Kaseya hacket minst tre ganger

VSA-produktet (virtual server administrator) fra Kaseya som ble utnyttet av trusselgruppa Revil til angrep på svenske Coop og anslagsvis 1500 andre bedrifter globalt, har vært utnyttet i andre og lignende verdikjedeangrep flere ganger før.

Akkurat samme verktøy ble misbrukt til spredning av utpressingsskadevare minst to ganger i perioden 2018 til 2019. Det forteller tidligere Kaseya-ansatte til Bloomberg.

De sikter til tidligere utgaver av Revil-skadevaren kjent som Gandcrab og Sodinokibi, som alle antas å være skapt av samme kriminelle gruppe med tilhold i Russland.

Itech Solutions, en tjenestetilbyder i California, bekrefter at de ble rammet av Wannacry i mars 2018 som en følge av at hackere utnyttet en sårbarhet i Kaseya VSA for å spre løsepengevirus til om lag 250 datamaskiner fordelt på 35 kunder av Itech.

– Kaseya ga oss ingen oppfølging. Det føltes som vi måtte håndtere dette helt på egen hånd, sier Brian Weiss, daglig leder i Itech, som i etterkant valgte å si opp avtalen med Kaseya.

Kartet som viser antallet norske servere som var sårbare for Terrapin Attack den 4. januar 2023. Dette var de nyeste dataene tilgjengelige da artikkelen ble skrevet.
Les også

Nylig oppdaget angrepsteknikk: Tusenvis av norske servere er berørt

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra