Miami-baserte Kaseya Ltd. får et kritisk søkelys rettet mot seg etter at programvaren deres ble utnyttet i et av tidenes største løsepengevirusangrep.
I perioden 2017 til 2020 skal ansatte en rekke ganger ha varslet internt om flere kritiske sårbarheter i Kaseya VSA, som er selskapets verktøy for fjernadministrasjon av datamaskiner.
Bekymringene falt imidlertid på døve ører, ifølge fem tidligere utviklere i Kaseya som Bloomberg har snakket med.
Flere av dem hevder å ha sagt opp i frustrasjon, eller fått sparken, etter å ha varslet om kritikkverdige forhold gjentatte ganger.
Kildene forteller om utdatert programvare og bruk av svake passord og svak kryptering i selskapets produkter og servere, inkludert påstått mangelfull oppdatering av egne systemer.
Kaseya har ikke ønsket å kommentere påstandene fordi de involverer personell eller fordi hackingen er gjenstand for en pågående politietterforskning.
VSA-produktet hadde så foreldet kode at programvaren burde ha vært kastet på skraphaugen, mener en av de fem intervjuede eks-ansatte, som alle er anonymisert av Bloomberg av hensyn til inngåtte taushetsavtaler eller frykt for at uttalelsene kan skade deres videre karriere.
Kaseya skal i 2018 ha outsourcet til Minsk, hovedstaden i Hviterussland, der de rekrutterte mer enn 40 utviklere som tok over arbeid som tidligere ble utført i USA. Fire av de fem kildene mener at også dette potensielt kan påvirke sikkerheten i negativ retning, med tanke på landets nære politiske bånd til Russland.
Et lappeteppe med utdatert kode
Også åpne ekspertkilder tegner et ufordelaktig bilde av Kaseya og det hackede produktet.
Kildekoden skal ha fremstått som et lappeteppe av forskjellige programmeringsspråk, og i hvert fall deler av koden var utdatert og uegnet for bruk i en moderne IT-plattform for fjernadministrasjon av datasystemer.
Det mener gründer Marcus Murrey i det svenske sikkerhetsselskapet Truesec, som både har analysert verktøyet og bistått flere kunder som nylig ble rammet av løsepengeangrep gjennom sikkerhetsbruddet i Kaseya.
– Vi fant mange ulike kategorier av utnyttbare sårbarheter i Kaseyas VSA-produkt, noe som indikerer en mangelfull forståelse for grunnleggende sikkerhet ved programvareutvikling, konstaterer Murray.
NSA publiserte «ukjent» video av berømt «bestemor Cobol»-foredrag
Kaseya hacket minst tre ganger
VSA-produktet (virtual server administrator) fra Kaseya som ble utnyttet av trusselgruppa Revil til angrep på svenske Coop og anslagsvis 1500 andre bedrifter globalt, har vært utnyttet i andre og lignende verdikjedeangrep flere ganger før.
Akkurat samme verktøy ble misbrukt til spredning av utpressingsskadevare minst to ganger i perioden 2018 til 2019. Det forteller tidligere Kaseya-ansatte til Bloomberg.
De sikter til tidligere utgaver av Revil-skadevaren kjent som Gandcrab og Sodinokibi, som alle antas å være skapt av samme kriminelle gruppe med tilhold i Russland.
Itech Solutions, en tjenestetilbyder i California, bekrefter at de ble rammet av Wannacry i mars 2018 som en følge av at hackere utnyttet en sårbarhet i Kaseya VSA for å spre løsepengevirus til om lag 250 datamaskiner fordelt på 35 kunder av Itech.
– Kaseya ga oss ingen oppfølging. Det føltes som vi måtte håndtere dette helt på egen hånd, sier Brian Weiss, daglig leder i Itech, som i etterkant valgte å si opp avtalen med Kaseya.
Microsoft: Angrep fra utpressingsvirus øker sterkt – men det er én positiv trend
