Что мы знаем о сбое обновления CrowdStrike, вызвавшем глобальные перебои и хаос в путешествиях
Ошибочное обновление программного обеспечения, выпущенное гигантом в области безопасности CrowdStrike, привело к массовому отключению, которое затронуло компьютеры с Windows по всему миру, нарушив работу предприятий, аэропортов, железнодорожных станций, банков, вещательных компаний и сектора здравоохранения.
CrowdStrike сообщил, что сбой не был вызван кибератакой, а стал результатом «дефекта» в обновлении программного обеспечения для их флагманского продукта безопасности Falcon Sensor. Дефект вызывал сбой и неполную загрузку всех компьютеров с Windows, на которых установлено Falcon.
«Проблема была идентифицирована, изолирована и исправлена», — говорится в заявлении CrowdStrike в пятницу. Некоторые компании и организации начали восстанавливаться, но многие ожидают, что перебои будут продолжаться до выходных или следующей недели, учитывая сложность исправления. Генеральный директор CrowdStrike Джордж Курц сообщил NBC News, что «для восстановления некоторых систем, которые автоматически не восстанавливаются, потребуется время». В более позднем твите Курц извинился за сбой.
Вот всё, что вам нужно знать о сбоях.
Что произошло?
Поздно вечером в четверг и до утра пятницы начали поступать сообщения о проблемах с ИТ, когда компьютеры с Windows застревали на печально известном «экране смерти» — ярко-синем экране с сообщением, которое появляется, когда Windows сталкивается с критической ошибкой, сбоивает или не может загрузиться.
Перебои были впервые замечены в Австралии рано утром в пятницу, и вскоре поступили сообщения из остальной части Азии и Европы по мере начала рабочего дня, а также из США.
Вскоре CrowdStrike подтвердил, что обновление программного обеспечения для Falcon неисправно и вызывает сбой на компьютерах с Windows, на которых установлено это программное обеспечение. Falcon позволяет CrowdStrike удаленно анализировать и проверять на наличие вредоносных угроз и программ на установленных компьютерах.
Примерно в то же время Microsoft сообщила о значительном сбое в одном из своих наиболее используемых регионов облака Azure, охватывающем большую часть центральных США. Представитель Microsoft сообщил TechCrunch, что их сбой не связан с инцидентом CrowdStrike.
Около полудня (по восточному времени) в пятницу генеральный директор Microsoft Сатья Наделла опубликовал сообщение в X, в котором говорится, что компания осведомлена о неудачном обновлении CrowdStrike и «тесно сотрудничает с CrowdStrike и по всей отрасли, чтобы предоставить клиентам технические рекомендации и поддержку для безопасного восстановления их систем в режиме онлайн».
Что такое CrowdStrike и что делает Falcon Sensor?
CrowdStrike, основанная в 2011 году, быстро выросла до уровня гиганта кибербезопасности. Сегодня компания предоставляет программное обеспечение и услуги 29 000 корпоративных клиентов, включая примерно половину компаний из списка Fortune 500, 43 из 50 штатов США и восемь из десяти ведущих технологических компаний, согласно ее веб-сайту.
Программное обеспечение кибербезопасности компании Falcon используется предприятиями для управления безопасностью на миллионах компьютеров по всему миру. Среди этих предприятий крупные корпорации, больницы, транспортные узлы и государственные департаменты. Большинство потребительских устройств не работают на Falcon и не пострадали от этого сбоя.
Одним из самых значительных недавних достижений компании было обнаружение группы российских хакеров, связанных с правительством, при взломе серверов Национального комитета Демократической партии перед президентскими выборами в США в 2016 году. CrowdStrike также известен использованием запоминающихся названий, связанных с животными, для обозначения групп хакеров на основе их национальности, таких как: Fancy Bear, который считается частью Главного разведывательного управления (ГРУ) России; Cozy Bear, считающийся частью Службы внешней разведки России (СВР); Gothic Panda, считающийся группой китайского правительства; и Charming Kitten, считающийся иранской государственно поддерживаемой группой. Компания даже делает фигурки для представления этих групп, которые продаются как сувениры.
CrowdStrike настолько велика, что является одним из спонсоров команды Mercedes F1 и даже выпустила рекламу на Суперкубке в этом году — впервые для компании в области кибербезопасности.
Кого затронули сбои?
Практически всех, кто в повседневной жизни взаимодействует с компьютерной системой, работающей на программном обеспечении CrowdStrike, даже если компьютер не принадлежит им.
Эти устройства включают кассы в продуктовых магазинах, табло отправлений в аэропортах и на железнодорожных станциях, школьные компьютеры, ноутбуки и настольные компьютеры, выданные на работе, системы регистрации в аэропорту, платформы бронирования и расписания авиакомпаний, сети здравоохранения и многое другое. Из-за того, что программное обеспечение CrowdStrike столь распространено, сбои вызывают хаос по всему миру по-разному. Достаточно одного неисправного компьютера с Windows, чтобы нарушить работу сети.
Репортеры TechCrunch по всему миру наблюдают и испытывают сбои, в том числе в местах путешествий, медицинских учреждениях и онлайн. Рано утром в пятницу Федеральное авиационное управление США ввело запрет на полеты, фактически остановив авиаперелеты по всей стране, ссылаясь на сбой. Похоже, что на данный момент национальная железнодорожная сеть Amtrak работает в обычном режиме.
Что делает правительство США на данный момент?
Поскольку проблема возникла в компании, федеральное правительство США не может много сделать. Согласно отчету, президент Байден был проинформирован о сбое CrowdStrike, и его команда «связалась с CrowdStrike и пострадавшими компаниями». Это во многом потому, что федеральное правительство является клиентом CrowdStrike и также пострадало.
Несколько федеральных агентств пострадали от инцидента, включая Министерство образования и Администрацию социального обеспечения, которые в пятницу заявили, что закрыли свои офисы в результате сбоя.
В отчете говорится, что команда Байдена «вовлечена во взаимодействие со всеми ведомствами, чтобы получать обновления по секторам в течение дня и готова оказать помощь по мере необходимости». В отдельном твите Министерство внутренней безопасности заявило, что оно работает с Агентством кибербезопасности и инфраструктурной безопасности (CISA) США, CrowdStrike и Microsoft, а также с федеральными, штатными, местными и критически важными инфраструктурными партнерами, чтобы «полностью оценить и устранить системные сбои».
Нет сомнений в том, что у CrowdStrike (и в некоторой степени у Microsoft, чей несвязанный сбой также вызвал нарушения для своих клиентов) будут вопросы от правительственных и конгресских следователей.
Пока что основное внимание будет уделено восстановлению пострадавших систем.
Как пострадавшие клиенты могут исправить свои компьютеры с Windows?
Основная проблема заключается в том, что программное обеспечение Falcon Sensor от CrowdStrike вышло из строя, вызвав сбой компьютеров с Windows, и это нелегко исправить.
На данный момент CrowdStrike выпустил патч и также предложил временное решение, которое может помочь пострадавшим системам нормально функционировать до тех пор, пока не будет найдено постоянное решение. Один из вариантов заключается в том, чтобы пользователи «перезагрузили [пострадавший компьютер], чтобы дать ему возможность загрузить исправленный файл канала», ссылаясь на исправленный файл.
В сообщении пользователям CrowdStrike описаны несколько шагов, которые клиенты могут предпринять, один из которых требует физического доступа к пострадавшей системе для удаления неисправного файла. CrowdStrike сообщает, что пользователи должны загрузить компьютер в безопасном режиме или в среде восстановления Windows, перейти в каталог CrowdStrike и удалить неисправный файл «C-00000291*.sys».
Основная проблема с необходимостью вручную исправить файл может стать серьезной головной болью для компаний и организаций с большим количеством компьютеров или серверов на базе Windows в дата-центрах или в других регионах, или в другой стране.
CISA предупреждает, что злоумышленники используют сбой
В пятничном заявлении CISA связало сбои с ошибочным обновлением CrowdStrike и заявило, что проблема не вызвана кибератакой. CISA заявило, что «тесно сотрудничает с CrowdStrike и федеральными, штатными, местными, племенными и территориальными партнерами, а также с партнерами в области критически важной инфраструктуры и международными партнерами для оценки последствий и поддержки восстановления систем».
CISA также отметила, что она «наблюдает, как злоумышленники используют данный инцидент для фишинга и других вредоносных действий». Агентство по кибербезопасности не предоставило дополнительных подробностей, но предупредило организации о необходимости быть бдительными.
Злоумышленники могут и будут использовать путаницу и хаос для проведения собственных кибератак. Рэйчел Тобак, эксперт по социальному инжинирингу и основатель компании по кибербезопасности SocialProof Security, заявила в серии постов в X, что «необходимо проверять, являются ли люди теми, за кого себя выдают, прежде чем предпринимать конфиденциальные действия».
«Преступники попытаются использовать этот ИТ-сбой, притворяясь ИТ для вас или вами для ИТ, чтобы украсть доступ, пароли, коды и т.д.», — сказала Тобак.
Что мы знаем о дезинформации?
Легко понять, почему некоторые могли подумать, что этот сбой был кибератакой. Внезапные сбои, синие экраны в аэропортах, офисные компьютеры, заполненные сообщениями об ошибках, хаос и путаница. Как и ожидалось, уже распространяется немало дезинформации, даже когда социальные сети неправильно помечают темы, как «кибератака».
Помните, что следует проверять официальные источники новостей и информации, и если что-то кажется слишком хорошим, чтобы быть правдой, возможно, так оно и есть.
TechCrunch будет обновлять этот отчет в течение дня.
Репортер TechCrunch Рам Айер внес свой вклад в подготовку этого материала.