Год спустя после кибератаки на Marks & Spencer мы оглядываемся на инцидент, рассматриваем извлеченные уроки и задаемся вопросом, стала ли розничная отрасль сегодня более защищенной. — computerweekly.com
В течение четырехдневных пасхальных выходных, с 18 по 21 апреля 2025 года, клиенты британского ритейлера Marks & Spencer (M&S) массово обращались в социальные сети, жалуясь на очевидный сбой, который привел к проблемам с бесконтактными платежами в магазинах. На первый взгляд, сбой выглядел как обычный сбой ИТ-систем, который случается время от времени, но ко вторнику, 22 апреля, стало ясно, что происходит нечто гораздо более зловещее. M&S отключила ряд публичных сервисов, таких как онлайн-покупки и услуга «кликни и забери» (click and collect) в магазинах, а генеральный директор Стюарт Мачин выступил в утренних новостных студиях, чтобы подтвердить, что ритейлер подвергся кибератаке. Этот инцидент стал первым в серии разрушительных атак на британских ритейлеров, все они были организованы по схожей схеме через системы ничего не подозревающего стороннего ИТ-поставщика. По мере того как втянулись такие компании, как Co-op и даже Harrods, англоязычный хакерский коллектив Scattered Spider, стоявший за атакой, и связанные с ним группы, такие как Lapsus$ и ShinyHunters, стали именами нарицательными. Летом 2025 года хакеры-подростки переключили свое внимание на другие цели, атакуя организации, работающие в различных секторах по всему миру. Киберпреступная волна, возможно, достигла своего пика — или, с другой точки зрения, дна — атакой в августе 2025 года на автопроизводителя Jaguar Land Rover (JLR), последствия которой продолжают отзываться в экономике Великобритании спустя почти восемь месяцев. Но хаос начался с M&S, когда полки магазинов опустели, поскольку менеджеры боролись с отключенными системами заказов, а дома по всей стране оставались без элитных «привередливых чаепитий» (picky teas), мармеладных сладостей в форме свиней и тортов с изображением гусениц.
Уязвимости третьих сторон: все началось с телефонного звонка
«Год спустя после атаки на M&S, цифры говорят о суровой правде. Кибератаки на розничную торговлю выросли примерно на 34% в прошлом году, и с тех пор траектория показывает, что эта цифра только увеличилась», — говорит глава отдела корпоративных решений Check Point в Великобритании и Ирландии Шарлотта Уилсон. «Инцидент ясно показал, как следует понимать саму природу атаки. Начальная точка входа в M&S, а также в Jaguar Land Rover… была телефонным звонком. Кто-то убедил сотрудника службы поддержки передать доступ к системе, выдав себя за сотрудника. Это была дверь, через которую они вошли, и она привела к ущербу в сотни миллионов фунтов стерлингов. Самая дорогая кибератака в истории британского ритейла началась с разговора». Мухаммад Яхья Патель, виртуальный директор по информационной безопасности (vCISO) и советник по кибербезопасности EMEA в Huntress, утверждает, что именно эта относительно несложная предыстория делает взлом M&S образцовым случаем, который каждая команда безопасности — независимо от того, работает ли она в сфере розничной торговли или нет — должна распечатать и повесить на стену. «Злоумышленники не нашли уязвимость нулевого дня. Они не обошли межсетевой экран нового поколения. Они взяли трубку, притворились сотрудником M&S и попросили службу поддержки стороннего поставщика сбросить пароль. Вот и все», — говорит Патель. «Все, что последовало за этим — эксфильтрация базы данных Active Directory, взлом учетных данных, развертывание программ-вымогателей на хостах VMware — все это стало следствием отсутствия процессов в службе поддержки». «То, что Арчи Норман назвал в Парламенте „изощренной имитацией“, сообщество безопасности называет отличительной чертой Scattered Spider со времен взлома MGM в 2023 году. План действий был публичным. Техника была задокументирована. И это сработало. «Пожалуй, самым отрезвляющим фактом [является то, что] четыре человека, арестованные Национальным агентством по борьбе с преступностью (NCA) в июле, были в возрасте от 17 до 20 лет. Это были не государственные субъекты с большими деньгами и поддержкой правительства. Они были молоды, говорили по-английски и были очень эффективны в поиске разрыва между техническими средствами контроля организации, людьми и процессами».
Долгосрочное влияние на обсуждения в советах директоров
Однако, как отмечает Уилсон из Check Point, атака на M&S, по-видимому, послужила столь необходимому тревожным звонком для розничной индустрии, и многие ее клиенты в результате начали пристально изучать свои цепочки поставок. «Атака обнажила суровую правду: ваша позиция в области безопасности сильна настолько, насколько слабо звено в вашей экосистеме поставщиков, а для многих ритейлеров это звено никогда серьезно не проверялось. Обсуждения цепочек поставок, которые ведутся сегодня в советах директоров, просто не велись 18 месяцев назад», — говорит она. «Киберриск теперь рассматривается как проблема на уровне совета директоров, чего раньше не было. Этот культурный сдвиг может оказаться самым важным наследием атаки». Патель из Huntress разделяет основные выводы из инцидента с M&S для директоров по информационной безопасности: Доминик Мортимер, руководитель команды red team в Bulletproof from WorkNest, согласен с тем, что руководители служб безопасности стали более бдительными в отношении опасностей социальной инженерии. «Взлом M&S привел к массовому и прямому росту числа организаций, желающих включить аналогичные сценарии взлома в свои тесты», — сообщает Мортимер Computer Weekly. «Я думаю, около 80% последних red team-тестов, проведенных после объявления о взломе, включали сценарии симуляции помощи в службе поддержки [или] вишинга, чтобы убедиться, что устойчивость и защита организации распространяются и на эти сторонние области. «Это действительно высветило область, которой организации ранее пренебрегали, и многие пересмотрели или с большим вниманием отнеслись к своей зависимости от аутсорсинговых сторонних структур. Так что это стало поучительной историей, которую организации приняли к сведению, что является огромным плюсом, несмотря на тяжелые времена, пережитые M&S».
Уроки после взлома
Тем не менее, кибербезопасность в розничной торговле остается трудной задачей, и Уилсон указывает на некоторые структурные факторы, которые по-прежнему делают магазины более уязвимыми для защиты, чем, например, компании, работающие в сфере финансовых услуг или издательства, работающие по модели B2B. Эти факторы включают, но не ограничиваются ими: больше точек контакта, ориентированных на общественность, что приводит к значительно большему объему фишинговых атак, частая текучесть линейного персонала и исторически более низкий средний уровень зрелости в области безопасности. Все это создает сложную для укрепления среду угроз. Кроме того, добавляет Уилсон, ритейлеры работают с очень низкой маржой, из-за чего кибербезопасность хронически недофинансируется. Поэтому неудивительно, что последние статистические данные Check Point о кибератаках за март 2025 года показывают, что сектор потребительских товаров и услуг был одним из наиболее подверженных атакам в Великобритании. Патель из Huntress сообщает, что сейчас он наблюдает волну многоканальных подходов со стороны хакеров, использующих электронную почту, телефонные звонки, SMS и даже Microsoft Teams для завоевания доверия сотрудников, прежде чем нанести решающий удар. Это, по его словам, затрудняет их остановку с помощью какого-либо одного метода контроля. «Это требует культуры верификации и обучения, а не просто набора инструментов», — говорит он. «Организации, которые выйдут из этого периода самыми сильными, не обязательно будут теми, кто потратил больше всего. Это будут те, кто честно оценил свои реальные пробелы и устранил их». «В Huntress мы постоянно видим злоумышленников внутри компаний, когда мы вмешиваемся, чтобы остановить их на месте. Мы наблюдаем профессионализацию и масштабирование экосистемы кражи личных данных. Эффективность противника находится на рекордно высоком уровне. Превращая несанкционированный доступ в надежные долгосрочные плацдармы, злоумышленники рассматривают сети как рынок». «Организации должны изменить свою стратегию: если вы следите только за „взломом“, вы упускаете само нарушение. Приоритет должен сместиться на строгую видимость после аутентификации и обнаружение аномалий», — говорит он. Уилсон отмечает, что инцидент с M&S, похоже, побудил правительство действовать с большей срочностью. Она указывает, что Национальный центр кибербезопасности (NCSC) в своем последнем годовом отчете сообщил, что обработал 204 «национально значимых» кибератаки с сентября 2024 года по сентябрь 2025 года, что более чем вдвое превышает предыдущий рекорд в 89. Она также отмечает прогресс в работе над Законом о кибербезопасности и устойчивости (CSBR), Планом действий Вестминстера по кибербезопасности и предложенным централизованным киберподразделением на 210 миллионов фунтов стерлингов. «Мы наконец-то начинаем видеть, что правительство не просто понимает, но и активно доносит до общества и бизнеса экономические издержки киберугроз. Это прогресс», — говорит она. «Однако то, что не изменилось, — это поведение отдельных лиц. Потребители, занимающиеся своей повседневной жизнью, не стали значительно осторожнее обращаться со своими личными данными». «И есть часть этой истории, о которой не говорят достаточно громко: волна мошенничества с коллективными исками, последовавшая за взломами. Они все еще существуют в социальных сетях: видео с дипфейками, в которых спрашивают, пострадали ли вы, имеете ли вы право на компенсацию, собирая данные тех самых людей, которые уже стали жертвами один раз». «Первоначальный взлом попал в заголовки, но мошенничество, которое на нем наживалось, — нет. И с точки зрения общества наша коллективная способность распознавать и противостоять такому вторичному использованию просто не улучшилась. Злоумышленники это знают, и они на это рассчитывают», — предупреждает она.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton