总部位于迈阿密的Kaseya Ltd.的五名前雇员说,在本月一场勒索软件攻击发生之前,该公司的高管曾被警告其软件存在严重的安全漏洞。这场攻击影响了多达1,500家公司。
从2017年到2020年,Kaseya美国办公室的员工多次表示,他们向公司领导人提出了广泛的网络安全担忧。但据这些工人说,这些问题往往没有得到完全解决。这些工人受雇于Kaseya的软件工程和开发部门,他们要求不透露姓名,因为他们签署了保密协议,或担心受到职业报复。
这些员工表示,最明显的问题包括:以过时代码为基础的软件、在Kaseya的产品和服务器中使用弱加密和密码、未能遵守基本的网络安全做法,比如定期给软件打补丁,以及专注于销售而忽略了其他优先事项。
Kaseya的一名发言人拒绝就这些指控发表评论,理由是该公司的政策不涉及人事问题或正在进行的针对此次黑客攻击的刑事调查。
一个名为REvil的与俄罗斯有关联的犯罪团伙自7月2日起发起了有记录以来影响最广的勒索软件攻击,并要求获得7000万美元的比特币,以换取通用解密器。该组织利用Kaseya的软件作为跳板,感染该公司的客户和管理服务提供商,这些服务提供商向中小企业提供技术和网络安全服务。Kaseya表示,其“技术团队和合作伙伴一直在夜以继日地工作,帮助受影响的客户恢复正常运行。”
其中一名前员工表示,2019年初,他向公司领导人发送了一份40页的备忘录,详细说明了安全问题,大约两周后被解雇,他认为这与他多次努力指出这些问题有关。另一名员工表示,Kaseya很少给软件或服务器打补丁,并将客户密码明文存储在第三方平台上,这意味着它们没有加密。这名员工称这种做法存在明显的安全漏洞。
这名员工和另一名高管被告知,Kaseya的虚拟系统管理员软件VSA已经过时,而且问题多多,应该更换。这就是雷维尔用来发动袭击的车辆。
据一名被解雇的员工说,在Kaseya的产品中,有很多基本的网络安全做法被违反,黑客的工作将变得很容易。
这些前雇员提出的问题与其他重大黑客攻击事件后提出的问题类似,这些事件包括Twitter Inc.、SolarWinds Corp.、Verkada Inc.和JBS SA。在上述每一起事件中,前雇员都表示,公司被警告存在网络安全问题,但未能充分解决这些问题。
该公司的一些工程师和开发人员表示,员工辞职是因为他们对新功能和产品被优先考虑而不是解决问题感到失望。据两名知情的前雇员透露,2018年,Kaseya开始将工作转移到白俄罗斯明斯克,在那里招聘了40多人从事以前在美国进行的软件开发工作,其他人也因此被解雇。其中四名前工人说,鉴于白俄罗斯在政治上与俄罗斯政府关系密切,他们认为将工作外包给白俄罗斯是一个潜在的安全问题。
今年4月,荷兰漏洞披露研究所(Dutch Institute for Vulnerability Disclosure)的安全研究人员通知Kaseya,该公司的软件存在安全漏洞。荷兰研究人员表示,该公司“非常合作”,并“表现出做正确事情的真诚承诺”。Kaseya发布了一个更新来修复一些漏洞,但在该公司受到攻击时,并不是所有漏洞都得到了修补。
总部位于瑞典的网络安全服务公司Truesec Inc.的创始人马库斯·默里(Marcus Murray)说,他的公司对VSA软件的审查仅在几个小时的研究中就发现了“严重和可利用的漏洞”。Truesec Inc.曾协助多个客户应对Kaseya入侵。他说,这些代码混合了编程语言,其中一些已经过时,不适合现代远程it管理平台。
Murray说:“我们在Kaseya VSA产品中发现了许多不同类别的可利用漏洞,这表明在软件开发中缺乏对基本安全原则的理解。”
本月的事件并不是Kaseya的系统第一次成为勒索软件组织的目标。据三名前Kaseya员工称,2018年至2019年期间,黑客至少两次使用Kaseya的软件作为部署勒索软件的手段。2019年2月和6月,使用Gandcrab和Sodinokibi (REvil的另一个名字)的勒索软件黑客利用Kaseya的VSA工具发布勒索软件。但这些员工说,这些事件发生后,公司的网络安全立场没有明显改变,这让他们有可能受到进一步的攻击。
总部位于加州的管理服务提供商ITECH Solutions的首席执行官布莱恩·韦斯(Brian Weiss)表示,2018年3月,黑客利用了Kaseya的VSA软件平台上的一个漏洞,他的公司当时正在运营,随后他的公司遭到了勒索软件的攻击。黑客随后利用ITECH的电脑发动了进一步的攻击,目标是该公司的35名客户,并用一种名为“想哭”(WannaCry)的勒索软件对大约250台电脑上的数据进行加密。
韦斯说,在研究了数据库日志文件后,他向Kaseya证明,黑客曾利用Kaseya的软件攻击他的公司。
“他们没有安排任何人到我的账户,甚至没有跟进以确保一切正常,”他说。“我觉得我是一个人。”随后,他终止了与Kaseya的合同。
7月6日,Kaseya首席执行官Fred Voccola在YouTube上发布的一段视频中表示,该公司有50名客户直接受到黑客入侵的影响,另有800至1500家“下游”企业也受到了影响,因为他们是Kaseya客户的客户。
Voccola表示,袭击发生后,Kaseya得到了国土安全部、联邦调查局和白宫的帮助。