Датский производитель средств против ожирения и диабета Novo Nordisk подвергся двум кибератакам одновременно. Группировка FulcrumSec потребовала выкуп в размере 25 млн долл., а TheUSERS007 — 50 млн долл. Фармацевтическая компания не пошла на выплату, сообщает DataBreaches.net.
FulcrumSec проникла в корпоративную инфраструктуру еще в марте этого года через взломанный ключ доступа от аккаунта одного из сотрудников фармгиганта на платформе GitHub с правами на сотни закрытых репозиториев. В их руках оказались свыше 700 тыс. файлов общим объемом 1,3 терабайта с исходным кодом программных продуктов, конфиденциальной информацией об исследованиях 41 144 лекарственных соединений и основанных на технологии РНК-интерференции методов лечения (права на них достались Novo Nordisk благодаря покупке Dicerna за 3,3 млрд долл. в 2021 году), 32 внутренними моделями искусственного интеллекта (ИИ). Также похищены персональные сведения примерно 11 500 участников клинических испытаний семаглутида (исследования SELECT, FLOW, SOUL, FOCUS), инсулина (ONWARDS) и экспериментального препарата против гемофилии А денецимиг/denecimig, известного также как Mim8 (FRONTIER).
Novo Nordisk ранее подтвердила инцидент, заверив, что производственные процессы и цепочки поставок остались незатронутыми. Как отметила группировка, реагирование было крайне медленным. Даже спустя несколько недель после обнаружения взлома ИТ-систем служба безопасности концерна не устранила утечку до конца. Кибервымогатели сохранили доступ к внутренним хранилищам, аккаунтам в Okta и Hugging Face и успели завершить скачивание до того, как были заблокированы скомпрометированные учетные записи.
Группировка начала публиковать часть данных и анонсировала закрытую продажу наиболее ценной части полученной информации. В то же время злоумышленники пообещали воздержаться от передачи персональных данных испытуемых и программного обеспечения для производственного оборудования. Оценивая украденные ИИ-технологии, злоумышленники с иронией написали на своем сайте: «По правде говоря, 99% возможностей этих ИИ‑моделей остаются для нас за пределами понимания». Тем не менее, по оценке FulcrumSec, похищенные материалы позволят сократить срок создания медикаментов на три—пять лет.
Параллельно, с 5 по 7 июня, в системы Novo Nordisk проникла вторая группировка — TheUSERS007, ранее неизвестная в профессиональных кибербезопасностных сообществах. Она утверждает, что использовала собственный инструмент под названием Venomware — самообучающийся ИИ-движок, способный автоматически обнаруживать незащищенные участки, подстраиваться под особенности целевой инфраструктуры и бесследно извлекать сведения.
По заявлениям хакеров, вся процедура — от разведки до выгрузки — заняла менее часа: через открытый сетевой адрес реестра Harbor, где хранились ИИ-модели и программы фармгиганта. Они отправили неавторизованный запрос к API, в ответ на который сервер выдал им действующий ключ доступа без ввода каких-либо логинов и паролей из-за ошибки в настройках безопасности. Среди собранного массива — файлы с обученными нейросетями весом 16,7 гигабайта, полный исходный код, SSH-ключи (используются для удаленного управления серверами) и 500 мегабайт материалов, охраняемых авторским правом.
