Компания Trellix подтвердила факт несанкционированного доступа к части своего репозитория с исходным кодом. Это само по себе примечательная история: специалисты по защите чужих систем оказались в положении, когда им пришлось защищать свои собственные. Расследование продолжается при участии правоохранительных органов и сторонних судебно-технических экспертов.
По данным самой компании, злоумышленникам удалось получить доступ именно к репозиторию с исходным кодом. При этом Trellix настаивает на том, что никаких признаков изменения или подмены кода обнаружено не было. Конвейеры сборки и дистрибуции продуктов, по заявлению компании, не пострадали. Иными словами, никаких следов того, что взломанный код был использован для компрометации конечных пользователей, пока нет.
Реакция Trellix была достаточно оперативной: сразу после обнаружения инцидента компания привлекла ведущих криминалистических экспертов и уведомила правоохранительные органы. Официальная позиция сводится к тому, что расследование ещё не завершено, и как только оно будет закончено, компания поделится дополнительной информацией. Пока же ответов на ключевые вопросы нет.
А вопросов действительно немало. Trellix намеренно или вынужденно не раскрыла три важных момента: кто именно стоит за атакой, как долго злоумышленники имели доступ к системам, и какой конкретно объём данных мог быть просмотрен или скопирован. Слово «часть» репозитория — это широкое понятие, за которым может скрываться что угодно: несколько файлов конфигурации или критически важные модули продукта.
Чтобы понять масштаб ситуации, важно знать, что представляет собой Trellix. Компания возникла в результате слияния McAfee Enterprise и FireEye. Именно FireEye в своё время владела Mandiant — одной из самых авторитетных компаний в области расследования кибератак. В 2022 году Google приобрела Mandiant за 5,4 миллиарда долларов, что само по себе говорит о ценности этого актива. Trellix, оставшись без Mandiant, продолжила работу как самостоятельная структура, специализирующаяся на корпоративной безопасности.
Доступ к исходному коду продуктов безопасности — это не рядовая утечка. Такой код содержит логику обнаружения угроз, алгоритмы анализа поведения, механизмы обхода вредоносного ПО и принципы работы защитных систем. Для потенциального злоумышленника это своего рода карта минного поля с указанием, где проходы между минами. Именно поэтому инциденты подобного рода с компаниями в сфере кибербезопасности вызывают особое беспокойство в профессиональном сообществе.
Trellix — не первая компания в этой отрасли, столкнувшаяся с подобной ситуацией. В 2020 году тот же FireEye был взломан в рамках масштабной атаки на цепочку поставок SolarWinds, и тогда злоумышленники похитили инструменты для тестирования на проникновение. Тот инцидент наглядно показал: компании, занимающиеся кибербезопасностью, сами являются привлекательными целями именно потому, что располагают ценными техническими активами.
Расследование ведётся, и пока оно не завершено, точная картина произошедшего остаётся размытой. То, что компания не обнаружила следов эксплуатации кода «на текущий момент», не означает, что их нет или не появятся позже. Криминалистический анализ репозиториев — процесс трудоёмкий, особенно если атакующие действовали аккуратно и заметали следы.
The Hacker News направил запрос в Trellix за комментарием, и история продолжает развиваться. Следует ждать обновлений по мере того, как расследование будет продвигаться и компания сочтёт возможным раскрыть больше деталей об инциденте.
Изображение носит иллюстративный характер
По данным самой компании, злоумышленникам удалось получить доступ именно к репозиторию с исходным кодом. При этом Trellix настаивает на том, что никаких признаков изменения или подмены кода обнаружено не было. Конвейеры сборки и дистрибуции продуктов, по заявлению компании, не пострадали. Иными словами, никаких следов того, что взломанный код был использован для компрометации конечных пользователей, пока нет.
Реакция Trellix была достаточно оперативной: сразу после обнаружения инцидента компания привлекла ведущих криминалистических экспертов и уведомила правоохранительные органы. Официальная позиция сводится к тому, что расследование ещё не завершено, и как только оно будет закончено, компания поделится дополнительной информацией. Пока же ответов на ключевые вопросы нет.
А вопросов действительно немало. Trellix намеренно или вынужденно не раскрыла три важных момента: кто именно стоит за атакой, как долго злоумышленники имели доступ к системам, и какой конкретно объём данных мог быть просмотрен или скопирован. Слово «часть» репозитория — это широкое понятие, за которым может скрываться что угодно: несколько файлов конфигурации или критически важные модули продукта.
Чтобы понять масштаб ситуации, важно знать, что представляет собой Trellix. Компания возникла в результате слияния McAfee Enterprise и FireEye. Именно FireEye в своё время владела Mandiant — одной из самых авторитетных компаний в области расследования кибератак. В 2022 году Google приобрела Mandiant за 5,4 миллиарда долларов, что само по себе говорит о ценности этого актива. Trellix, оставшись без Mandiant, продолжила работу как самостоятельная структура, специализирующаяся на корпоративной безопасности.
Доступ к исходному коду продуктов безопасности — это не рядовая утечка. Такой код содержит логику обнаружения угроз, алгоритмы анализа поведения, механизмы обхода вредоносного ПО и принципы работы защитных систем. Для потенциального злоумышленника это своего рода карта минного поля с указанием, где проходы между минами. Именно поэтому инциденты подобного рода с компаниями в сфере кибербезопасности вызывают особое беспокойство в профессиональном сообществе.
Trellix — не первая компания в этой отрасли, столкнувшаяся с подобной ситуацией. В 2020 году тот же FireEye был взломан в рамках масштабной атаки на цепочку поставок SolarWinds, и тогда злоумышленники похитили инструменты для тестирования на проникновение. Тот инцидент наглядно показал: компании, занимающиеся кибербезопасностью, сами являются привлекательными целями именно потому, что располагают ценными техническими активами.
Расследование ведётся, и пока оно не завершено, точная картина произошедшего остаётся размытой. То, что компания не обнаружила следов эксплуатации кода «на текущий момент», не означает, что их нет или не появятся позже. Криминалистический анализ репозиториев — процесс трудоёмкий, особенно если атакующие действовали аккуратно и заметали следы.
The Hacker News направил запрос в Trellix за комментарием, и история продолжает развиваться. Следует ждать обновлений по мере того, как расследование будет продвигаться и компания сочтёт возможным раскрыть больше деталей об инциденте.
