SKY NEWS: Garmin провалила тест на безопасность своих сервисов и заплатила огромный выкуп предположительно российским хакерам

Блог Samsung World продолжает следить за историей скандальной хакерской атаки на компанию Garmin, повлекшей её фактический паралич (предыдущие публикации: LINK 1, LINK 2).
Как стало известно, этот производитель "премиальных" смарт-часов, фитнес-браслетов и техники для GPS-навигации, заплатил «многомиллионный» выкуп хакерам, которые устроили атаку на его онлайн-сервисы. Об этом сообщили источники телеканала Sky News.
Согласно полученным данным, взамен Garmin получила ключ для расшифровки файлов и возобновления доступа к своим сервисам.
Как отмечает Sky News, Garmin заплатила выкуп через стороннюю фирму Arete IR, чтобы не попасть под санкции США из-за сделки с хакерами.
Каков был размер выкупа, Sky News не уточняет. Издание BleepingComputer со ссылкой на источник писало, что хакеры потребовали от Garmin 10 миллионов долларов за возвращение доступа к её сервисам. Другие ресурсы называли сумму в 10 раз больше, то есть $100 миллионов.
23 июля у владельцев устройств Garmin начались проблемы с доступом к фирменным онлайн-сервисам. СМИ сообщили, что системы Garmin подверглись атаке вируса-шифровальщика WastedLocker. Его разработчиком считается хакерская группировка Evil Corp, предположительно связанная с российскими силовиками. Участники Evil Corp (видео об их разгульной жизни в Москве приведено выше) находятся под санкциями США.
27 июля Garmin подтвердила, что причиной сбоя стала кибератака, но не стала уточнять подробности. Компания заверила, что хакеры якобы не получили данные пользователей и не ухудшили функциональность продуктов Garmin, а доступ к онлайн-сервисам компании будет полностью восстановлен в течение пары дней.
Однако история с неполадками растянулась более чем на неделю, а специалисты по кибератакам предупредили, что хакеры почти наверняка скачали критически важную информацию с серверов Garmin, прежде чем отправили незадачливой компании ключ для разблокировки.
В связи с произошедшим возникает вопрос: имеет ли Garmin право после всего произошедшего позиционировать себя как "премиальный" брэнд, если он не способен обеспечить элементарную безопасность?
В то же время вызывает удивление аномальная лояльность фанатов Garmin, которые ради любимой марки готовы поставить под удар свои личные данные. Назвать их дураками вроде бы некорректно, но и к числу адекватных пользователей таких людей вряд ли можно отнести...

обновление: 30 августа соцсети вновь заполнили сообщения о проблемах с доступом к сервисам Garmin ( #GarminDown )

SKY NEWS: Garmin failed a security test of its services and paid a huge ransom to allegedly russian hackers

The smartwatch maker had been targeted by ransomware which some researchers believe is created by sanctioned criminals.

previous publications on this topic: LINK 1, LINK 2

Smartwatch maker Garmin paid a multi-million dollar ransom (according to various estimates from 10 to 100 million US dollars) to criminals who encrypted its computer files through a ransomware negotiation business called Arete IR, sources have told Sky News.
Earlier Sky News reported that Garmin had obtained the decryption key to recover its files from the WastedLocker virus.
Security sources believe this virus has been developed by individuals linked to Evil Corp, a cyber crime group based in Russia that was sanctioned by the US Treasury last December.
According to people with knowledge of the matter, speaking to Sky News on the condition of anonymity, Garmin had initially sought to pay the ransom using another firm which specialises in responding to these incidents.
However, this firm responded that it didn't negotiate ransom payments in WastedLocker cases due to the risk of running foul of the sanctions.
The sources said after being initially rebuked, Garmin then sought the services of Arete IR, a firm which claims that the links between the WastedLocker ransomware and sanctioned individuals have not been proven.
According to Garmin its systems were hit by the virus on Thursday 23 July. On Friday 24 July, Arete tweeted a study on its website which disputed research attributing WastedLocker to Evil Corp (video about their riotous life in Moscow is given above), citing inconclusive evidence.
The criminals began developing the ransomware after the sanctions were issued, and so it is not mentioned specifically in the US Treasury's sanction notice.
The US government has not yet made a public attribution linking WastedLocker to the sanctioned individuals.
The sanctions mean that "US persons are generally prohibited from engaging in transactions" with the 17 individuals and seven business entities tied to Evil Corp, even in cases of extortion.
Sources with knowledge of the incident told Sky News that Garmin - an American multinational which is publicly listed on the NASDAQ - did not directly make a payment to the hackers.
Separate sources confirmed to Sky News that Arete IR made the payment as part of its ransomware negotiation services, although Arete argues that WastedLocker is not conclusively the work of Evil Corp.
Neither Garmin nor Arete IR disputed that the payment was made when offered the opportunity to do so.
A representative for Arete told Sky News they could not comment regarding Garmin, stating: "Arete has contractual confidentiality obligations to all clients and therefore cannot discuss any client identity or interactions."
Regarding the allegation that the operators of WastedLocker are covered by US sanctions, they added: "Arete follows all recommended and required screenings to insure compliance with US trade sanctions laws."
Garmin told Sky News it had no additional comment to make.
The history with Garmin's problems stretched for more than a week, and cyberattack experts warned that hackers almost certainly stole all critical information from Garmin's servers before sending the hapless company a key to unlock it.
In connection with what happened, the question arises: does Garmin have the right, after all that has happened, to position itself as a "premium" brand, if it is not able to provide basic safety?
At the same time, the abnormal loyalty of Garmin fans, who for the sake of their favorite brand are ready to jeopardize their personal data, is surprising. Calling them fools seems to be incorrect, but such people can hardly be attributed to the number of adequate users...

Update: On August 30, social networks re-filled reports of problems with access to Garmin services ( #GarminDown )

Безопасность носимых устройств: Apple, Samsung, Garmin & Co. - кто лучше?

Судя по количеству просмотров, в текущем месяце в лидеры определённо должна попасть наша заметка о взломе сервисов (и, вероятно, отдельных гаджетов) американского производителя навигационных и спортивных носимых устройств Garmin. Ситуация действительно беспрецедентная, так как в целом ряде стран и в отдельных регионах сервисы и даже сайт компании до сих пор недоступны или работают в ограниченном режиме. Фактически Garmin парализован начиная с вечера 23 июля.
За всю историю существования носимых гаджетов такого коллапса ещё не наблюдалось. Самое печальное, что в рассматриваемом случае нет никакой гарантии от утечки персональных данных пользователей, а это чревато непредсказуемыми последствиями.
Сложившуюся ситуацию мы попросили прокомментировать приглашённого эксперта информационного блога Samsung World (SW) Николая Изнова.

SW: Похоже, что руководство Garmin сделало всё, чтобы самые мрачные слухи относительно произошедшего курсировали в СМИ и соцсетях как можно дольше. По карйней мере, до сих пор нет никаких вразумительных ответов на вопрос что это было и когда клиенты компании смогут, наконец, получить в полном объёме все те услуги, за которые они заплатили. Можете ли вы пролить свет на эту более чем странную историю?

Н.И.: Я не работаю топ-менеджером Garmin и не могу вам с полной уверенностью сказать, что именно там случилось. Но неоспоримым фактом является полный паралич работы компании в течение длительного периода времени. На несколько суток были выведены из строя не только региональные сайты Garmin, но и прекращена поддержка жизненно важных сервисов. Мало того, была даже остановлена работа предприятия на Тайване, выпускающего продукты Garmin.
Это первый в истории случай глобальной остановки стратегически важной  компании с многомиллионными оборотами. И произошло это не из-за какого-то форс-мажора типа землетрясения, цунами или падения метеорита, а в результате хакерской атаки.
На удивление скромное освещение этого ЧП в западной прессе всё же даёт некоторое представление о его масштабах. Так, в статье на сайте BBC говорится, что помимо обрушения сервиса спортивного мониторинга Garmin Connect (это хоть и неприятно, но не сказать чтоб смертельно), случились куда более опасные вещи. Например, "пилоты, использующие flyGarmin, не смогли загрузить новейшие авиационные базы данных, наличие которых авиарегуляторы типа FAA требуют в обязательном порядке". Иначе они просто не смогут никуда лететь.
Похожая ситуация возникла и с обслуживанием навигаторов яхт и прочих судов, находящихся в открытом море. Теоретически это могло привести к очень серьёзным инцидентам и в Garmin должны были усиленно молиться всем богам, чтобы ничего подобного не произошло.

SW: Как вы можете оценить действия руководства Garmin в сложившейся ситуации?
    
Н.И.: Судя по тому, что происходило в течение этих дней, руководство компании находилось в состоянии паники и, вероятно, отказывалось верить в происходящее. Возможно, зарубежные филиалы не в полной мере информировали штаб-квартиру Garmin о масштабах произошедшего, но это не может быть оправданием, а лишь указывает на слабость внутрикорпоративных коммуникаций и неумение слаженно действовать в чрезвычайных ситуациях.      
На месте акционеров этой компании я бы потребовал срочного создания независимой группы (или даже нескольких групп), которые бы занялись обстоятельным расследованием этого инцидента. В конце концов надо осознавать, что это очень рискованный бизнес, напрямую связанный с безопасностью полётов и судоходства. Отсутствие глубоко эшелонированной киберзащиты может привести к ужасным последствиям.

SW: Тем не менее на месте Garmin может оказаться кто угодно, и остальные компании пока могут лишь временно перевести дух, поскольку этот коллапс постиг не их бизнес. По крайней мере так рассуждают некоторые отраслевые журналисты.

Н.И.: Уверяю вас, что кибератакам ежедневно подвергаются едва ли не все крупные компании, но, тем не менее, кое-кто может вполне успешно их отражать. Всё дело в грамотном подборе кадров, отвечающих за безопасность, и в объёме средств, выделяемых на эти цели. В конечном итоге всё опять же упирается в качество топ-менеджмента.

SW: Поскольку Garmin является одним из ведущих игроков на рынке носимых смарт-устройств, можете ли вы сравнить уровень защиты их гаджетов с ближайшими конкурентами?    

Н.И.: По итогам 1-го квартала 2020 года Garmin занимает 4-ю позицию в этом сегменте на глобальном рынке. Впереди них сформировалась "большая тройка": Apple, Huawei и Samsung. При этом основную часть продукции Huawei и Garmin вряд ли можно отнести к разряду полноценных смарт-устойств. Всё-таки в большей степени это спортивные трекеры, а вовсе не наручные ПК. Так что сравнивать их "лоб в лоб" довольно затруднительно.
Тем не менее, Garmin является ближайшим преследователем Samsung, отставая от южнокорейского гиганта примерно на 8 процентных пунктов. И если сравнивать этих двух игроков в плане обеспечения безопасности, то к настоящему времени счёт определённо 1:0 в пользу Samsung.
Корейцы вышли на рынок полноценных смарт-часов ещё в 2013-м году, и, как уже отмечалось в ваших публикациях, с тех пор не было юридически зафиксировано ни одного случая взлома их TIZEN-устройств и сопутствующих облачных сервисов, ответственных за мониторинг физического состояния и спортивных тренировок.
Несмотря на то, что журналисты-дилетаны считают Samsung "слабым игроком" на софтверном рынке, это далеко не так. Конгломерат обладает разветвлённой сетью филиалов, ответственных за обеспечение безопасности на всех уровнях, в том числе критически важных облачных сервисов. Собственные службы кибербезопасности защищают от атак хакеров не только предприятия, находящиеся в собственности чеболя, но и целый ряд сторонних компаний. Иными словами, Samsung имеет большой опыт в отражении атак киберпреступников и соответствующие инструменты для успешной борьбы с ними.

SW: Чем в этом плане могут похвастаться Apple и Huawei?

Н.И.: Apple не имела столь громких фиаско как Garmin, хотя ранее был зафиксирован случай крупной утечки приватных фото американских знаменитостей из их облачного сервиса. Но это напрямую не касалось смарт-часов, а было связано с информацией, "слитой" через мобильные трубки iPhone.
Что касается Huawei, то после перехода этой компании с Android Wear на собственную операционную платформу для носимых гаджетов, сказать что-то определённое сложно. Во-первых, прошло совсем мало времени, во-вторых это довольно примитивные устройства с весьма ограниченным функционалом, а в третьих смарт-часы Huawei вряд ли представляют большой интерес для киберпреступников, ибо красть там особо нечего. По крайней мере пока.

SW: OK, тогда давайте вернёмся к истории с Garmin. В их последних заявлениях говорится, что хакеры (предположительно из российской кибергруппировки Evil Corp) не завладели приватной информацией о пользователях и, что подчёркивается с особым пафосом, проблема не затронула платёжный сервис Garmin Pay. Но, честно говоря, многие сомневаются в искренности этих утверждений.

Н.И.: Такие утверждения рассчитаны на абсолютных дилетантов (а по-русски говоря, на обычных лохов). Как можно заявлять такое, когда всестороннее расследование инцидента подобного масштаба должно занять многие месяцы, а то и годы?! Любой грамотный специалист по кибербезопасности скажет вам, что если хакеры смогли парализовать работу всей компании, внедрив туда вирус-вымогатель, то это означает, что они проникли в святая святых, то есть открыли доступ ко всем (!) имеющимся на их серверах данным. И заявление о том, что "приватная информация никуда не утекла" равносильно полному безумию.
Если вы хотите подтверждения, то я могу сослаться на мнение Брэтта Кэллоу, специалиста по кибербезопасности из компании Emsisoft. В интервью телеканалу Sky News он высмеял заявление Garmin, в котором говорилось, что "нет никаких указаний на то, что какие-либо данные о клиентах, включая информацию о платежах Garmin Pay, были доступны киберпреступникам". На это Кэллоу ответил саркастически: "Отсутствие указаний не является признаком их отсутствия".
Любой опытный специалист по киберпреступности скажет вам, что, как правило, вымогатели не ограничиваются лишь получением выкупа за предоставление ключа дешифрования пострадавшей стороне. Практика показывает, что сначала они похищают все интересующие их данные, и лишь после этого запускают вирус-шифровальщик. И я не удивлюсь, если через какое-то время в "даркнете" начнут потихоньку всплывать конфиденциальные данные владельцев гаджетов от Garmin для продажи заинтересованным лицам. Если это произойдёт, руководство и акционеры Garmin будут иметь очень бледный вид.

SW: Что известно о киберпреступниках из группировки Evil Corp?

Западные СМИ публикуют фото подозреваемых из Evil Corp, которые могут быть причастны к атаке на Garmin /Western media are publishing photos of suspects from Evil Corp, who may be involved in the attack on Garmin

Н.И.: Они уже находятся под санкциями со стороны США, хотя на территории России чувствуют себя вполне вольготно. Западные СМИ сообщают, что члены этой банды курируются Кремлём и время от времени выполняют "деликатные поручения". Не исключено, что паралич Garmin является очередным "дружественным приветом" Вашингтону со стороны Москвы, что уже вошло в традицию. Впрочем, некоторые специалисты не исключают и китайский след, поскольку отношения Вашингтона и Пекина не менее проблематичны.

SW: Как правило, любое расследование подобных инцидентов начинается с вопроса "кому это выгодно?". Есть ли в этой истории конкретный заказчик или  молодые отморозки просто решили в очередной раз подзаработать на "крутую тачку"?

спорткары Максима Якубца, подозреваемого в кибератаке на Garmin, замечен во время нелегальных ночных гонок в районе Московского государственного университета / sports cars of Maksim Yakubets, suspected of cyberattack on Garmin, spotted during illegal night races in the area of Moscow State University 

Н.И.: "Дело Garmin" уже обрастает различными конспирологическими теориями. Некоторые полагают, что кто-то был заинтересован в падении акций этой компании, дабы сделать её руководство более сговорчивым в ходе операции по поглощению. Говорят, что некая "телефонная компания" заинтересована в покупке бизнеса Garmin. Кто выступает в роли потенциального покупателя, пока неизвестно.
Другие конспирологи, наоборот, утверждают, что таким образом киберпреступники якобы выполнили заказ по предотвращению этого самого поглощения в пользу какого-то другого возможного покупателя.
На данном этапе можно рассматривать все возможные версии, поэтому, как я уже говорил, потребуется длительное независимое расследование, к которому должны подключиться американские спецслужбы.

SW: Благодарим вас за содержательную беседу, и, надеемся, что к истории вокруг Garmin мы ещё вернёмся.

Н.И.: До скорой встречи.

Wearable device safety: Apple, Samsung, Garmin & Co. - who's better?

Judging by the number of views, this month our note on the hacking of services (and, probably, individual gadgets) of the American manufacturer of navigation and sports wearable devices Garmin should be among the leaders. The situation is truly unprecedented, since in a number of countries and in certain regions, services and even the company's website are still unavailable or operate in a limited mode. In fact, Garmin has been paralyzed since the evening of July 23rd.
In the entire history of the existence of wearable gadgets, such a collapse has not yet been observed. The saddest thing is that in this case there is no guarantee against leakage of personal data of users, and this is fraught with unpredictable consequences.
We asked Nikolai Iznov, the invited expert of the information blog Samsung World (SW), to comment on the current situation.

SW: It seems that the leadership of Garmin has done everything to ensure that the darkest rumors about what happened circulated in the media and social networks for as long as possible. At least, there are still no intelligible answers to the question of what it was and when the company's clients will finally be able to receive in full all the services for which they paid. Can you shed some light on this more than strange story?

N.I.: I do not work as a top manager of Garmin and I cannot tell you with complete certainty what happened there. But the indisputable fact is the complete paralysis of the company's work for a long period of time. For several days, not only the regional Garmin sites were disabled, but support for vital services was also discontinued. In addition, a local Garmin-branded facility in Taiwan was shut down.  
This is the first ever global shutdown of a strategically important multimillion-dollar company. And this happened not because of some kind of force majeure such as an earthquake, tsunami or meteorite fall, but as a result of a hacker attack.
The surprisingly modest coverage of this incident in the Western press still gives some idea of its scale. So, an article on the BBC website says that in addition to the collapse of the Garmin Connect sports monitoring service, much more dangerous cases have been recorded. For example, "pilots using flyGarmin were unable to download the latest aviation databases that FAA-type aviation regulators require." Otherwise, they simply won't be able to fly anywhere. A similar situation has arisen with the maintenance of navigators of yachts and other ships on the high seas. In theory, this could lead to very serious incidents and Garmin had to pray hard to all the gods so that nothing like this would happen.

SW: How can you assess the actions of Garmin's management in this situation?

N.I.: Judging by what was happening during these days, the company management was in a state of panic and, probably, refused to believe in what was happening. Perhaps, foreign affiliates did not fully inform the headquarters of Garmin about the scale of the incident, but this cannot be an excuse, but only indicates the weakness of internal corporate communications and the inability to act harmoniously in emergency situations.
I believe that Garmin shareholders should urgently demand the creation of an independent group (or even several groups) that would engage in a thorough investigation of this incident. In the end, one must realize that this is a very risky business, directly related to the safety of flights and shipping. Lack of in-depth cyber defense can have dire consequences.

SW: Nevertheless, anyone could be in Garmin's place, and the rest of the companies can only temporarily catch their breath, since this collapse did not affect their business. At least that's what some industry journalists think.  

N.I.: I assure you that almost all large companies are subjected to cyberattacks every day, but, nevertheless, some can quite successfully repel them. It's all about the competent selection of personnel responsible for security, and the amount of funds allocated for these purposes. In the end, everything depends on the quality of top management.

SW: Since Garmin is one of the leading players in the wearable smart device market, can you compare the quality of the software and hardware protection of these gadgets relative to products from the nearest competitors?

N.I.: At the end of the 1st quarter of 2020, Garmin is ranked 4th in this segment in the global market. Above them, the "big three" have formed: Apple, Huawei and Samsung. However, the bulk of Huawei and Garmin products can hardly be considered full-fledged smart devices. After all, these are mostly sports trackers, and not wrist PCs at all. So it is rather difficult to compare them "head to head".  
However, Garmin is Samsung's closest pursuer, trailing the South Korean giant by about 8 percentage points. And if you compare these two players in terms of security, then by now the score is definitely 1: 0 in favor of Samsung.
The Koreans entered the market of full-fledged smartwatches back in 2013, and, as already noted in your publications, since then there has not been a single case of hacking of their TIZEN devices and related cloud services responsible for monitoring of the physical condition and sports data.
Despite the fact that amateur journalists consider Samsung as a "weak player" in the software market, this does not correspond to reality. The conglomerate has an extensive network of branches responsible for ensuring security at all levels, including critical cloud services. In-house cybersecurity services not only protect Samsung-owned factories from hacker attacks, but also a range of third-party companies.
In other words, Samsung has extensive experience in repelling cybercriminal attacks, as well as a solid set of tools to successfully combat cybercriminals.

SW: What can Apple and Huawei boast about in this regard?

N.I.: Apple did not have such a high-profile fiasco as Garmin, although earlier there was a case of a large leak of private photos of American celebrities from their cloud service. But this did not directly concern smart watches, but was associated with information "leaked" through the iPhone's.
As for Huawei, after the transition of this company from Android Wear to its own operating platform for wearable gadgets, it is difficult to say something definite. Firstly, very little time has passed, and secondly, these are rather primitive devices with very limited functionality, and in the third, Huawei smartwatches are hardly of great interest to cybercriminals, because there is nothing special to steal there. At least for now.  

SW: OK, then let's get back to the Garmin story. Their latest statements say that hackers (presumably from the russian cyber group Evil Corp) did not take possession of private information about users and, which is emphasized with particular pathos, the problem did not affect the Garmin Pay payment service. But, frankly, many doubt the sincerity of these statements.  

N.I.: Such statements are intended for absolute simpletons. How can you say such a thing when a comprehensive investigation of an incident of this magnitude should take many months, if not years ?!  
Any competent cybersecurity expert will tell you that if hackers were able to paralyze the work of an entire company by introducing a ransomware virus there, then this means that they entered the holy of holies, that is, they opened access to all the data of the servers. And the statement that "private information has not leaked anywhere" is tantamount to complete madness.
If you want confirmation, then I can refer to the opinion of Brett Callow, Cybersecurity Specialist at Emsisoft. In an interview with Sky News, he ridiculed Garmin's claim that "there is no indication that any customer data, including information about Garmin Pay payments, was available to cybercriminals." To this Callow replied sarcastically: "Lack of indication is not a sign of lack of indication."
As any seasoned cybercrime expert will tell you, ransomware generally goes beyond ransom payments for providing the decryption key to the victim. Practice shows that first they steal all the data they are interested in, and only after that they launch the ransomware virus. I would not be surprised if, after some time, confidential data of the owners of Garmin gadgets for sale to interested parties begin to emerge on the darknet. If this happens, Garmin management and shareholders will look very pale.    

SW: What is known about the cybercriminals from the Evil Corp group?

N.I.: They are already under US sanctions, although they feel quite at ease on Russian territory. Western media report that the members of this gang are supervised by the Kremlin and from time to time carry out "delicate assignments." It is possible that Garmin's paralysis is another "friendly greeting" to Washington from Moscow, which has already become a tradition. However, some experts do not exclude a Chinese trace, since relations between Washington and Beijing are no less problematic.

SW: As a rule, any investigation of such incidents begins with the question "who benefits from this?"
Is there a specific customer in this story or the young robbers just decided to earn extra money for a "cool car"?

One of the cybercriminals was stopped by a police officer while racing in Moscow / Один из киберпреступников остановлен полицейским во время гонок по Москве

N.I.: The "Garmin case" is already overgrown with various conspiracy theories. Some believe that someone was interested in dropping the company's shares in order to make its management more compliant during the takeover operation. Some "phone company" is said to be interested in buying Garmin's business. Who is the potential buyer is still unknown. Other conspiracy theorists, on the contrary, argue that in this way the cybercriminals allegedly fulfilled an order to prevent this takeover in favor of some other potential buyer.
At this stage, all possible versions can be considered, therefore, as I said, a long independent investigation will be required, to which the American special services should be connected.   

SW: Thank you for the informative conversation, and we hope that we will return to the story around Garmin.

N.I.: See you soon.