Громкий инцидент с атакой на британскую сеть магазинов Marks & Spencer получил новое развитие: источники сообщили, что злоумышленники из группировки Scattered Spider смогли проникнуть в системы компании, используя учётные данные двух сотрудников стороннего подрядчика – индийской компании Tata Consultancy Services (TCS). Именно TCS, как выяснилось, также оказывала IT-услуги другой пострадавшей сети – Co-op.
Об этом сообщает агентство Reuters со ссылкой на свои источники. Информация совпадает с недавним предупреждением британского Национального центра кибербезопасности (NSC), в котором подчёркивалась повышенная активность киберпреступников против ритейла. В документе, опубликованном на сайте NSC, говорится о волне атак на крупные британские сети – Harrods, Co-op и M&S.
По имеющимся данным, именно логины двух сотрудников TCS были использованы при атаке на M&S, информация о которой впервые появилась 22 апреля. Сама TCS, основанная в 1968 году, остаётся одним из крупнейших подрядчиков в сфере IT-консалтинга, предоставляя услуги клиентам в банковском, страховом, производственном и розничном секторах. В Великобритании она работает с такими гигантами, как British Airways, Tesco, Primark, Sainsbury’s и Asda.
Примечательно, что всего за два месяца до атаки TCS анонсировала стратегическое партнёрство с Co-op – речь шла о модернизации всей IT-инфраструктуры британской сети с переходом на облачные решения. Также в августе 2023 года TCS и M&S были отмечены за совместную разработку облачной программы лояльности, построенной на современных технологических стеках и подходе, ориентированном на инженерные практики.
Несмотря на то, что NSC не подтвердил прямую связь между атаками на M&S, Co-op и Harrods, в отчёте подчёркивается важность мониторинга активности в облачных сервисах, а также за доступом сотрудников и подрядчиков. Особое внимание было уделено методам социальной инженерии, включая сброс паролей и обход многофакторной аутентификации (MFA) через IT-деск – именно такой подход Scattered Spider применял и ранее.
По словам компании iProov, специализирующейся на биометрических решениях, современные механизмы MFA уязвимы, так как всё ещё опираются на знания сотрудников – пароли, одноразовые коды. Если злоумышленнику удаётся убедить человека выдать обе составляющие – защита не работает. Он подчёркивает: лицо невозможно украсть или передать, и именно в этом заключается преимущество биометрии перед традиционными средствами идентификации.
Тем временем Marks & Spencer до сих пор не восстановила работу своих систем. Атака вывела из строя онлайн-заказы, часть клиентских данных была похищена, и компания провела массовую принудительную смену паролей. По мнению специалистов, такие задержки могут свидетельствовать о недостаточной готовности к инцидентам и слабой изоляции внутренних систем. В условиях сложной цифровой инфраструктуры и зависимости от облаков и подрядчиков восстановление может занять недели.
Согласно оценкам аналитиков, атака уже обошлась M&S более чем в 60 миллионов фунтов стерлингов – около 80 миллионов долларов. Рыночная капитализация компании за это время упала на миллиард фунтов.
Scattered Spider подтвердила, что именно она стоит за атаками на M&S и Co-op. Однако попытка внедрить шифровальщик в Co-op оказалась неудачной – атака была обнаружена в реальном времени. Группировка известна своей склонностью к фишингу, SMS-атакам, подмене SIM-карт и атакам, вызывающим “усталость от MFA”.
Специалисты считают, что такие инциденты становятся всё более опасными и масштабными, особенно на фоне роста цифровизации бизнеса. Использование биометрических систем в корпоративной безопасности может стать ключевым способом защиты от подобных схем.