Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Incydenty typu hack-and-leak należą dziś do najpoważniejszych zagrożeń dla sektora farmaceutycznego i biotechnologicznego. Tego rodzaju operacje łączą nieautoryzowany dostęp do systemów, kradzież danych oraz presję finansową opartą na groźbie ich publikacji. W przypadku globalnych firm medycznych stawką są nie tylko informacje operacyjne, ale także dokumentacja badań klinicznych, poufne dane rozwojowe oraz własność intelektualna o strategicznej wartości.
Właśnie w taki schemat wpisują się twierdzenia grupy FulcrumSec, która ogłosiła, że przeprowadziła włamanie do duńskiego koncernu farmaceutycznego Novo Nordisk. Według napastników kompromitacja miała objąć zarówno repozytoria kodu, jak i szeroki zestaw danych biznesowych oraz technicznych.
W skrócie
- Grupa FulcrumSec przypisała sobie atak na Novo Nordisk.
- Napastnicy twierdzą, że uzyskali dostęp z użyciem tokenu GitHub i następnie pozyskali kolejne poświadczenia.
- Według deklaracji sprawców wykradziono około 1,3 TB danych oraz listę ponad 700 tysięcy plików.
- W tle pojawia się żądanie okupu w wysokości 25 mln dolarów oraz groźba upublicznienia materiałów.
- Incydent może mieć znaczenie nie tylko operacyjne, ale również regulacyjne, reputacyjne i biznesowe.
Kontekst / historia
Sprawa zyskała rozgłos po wcześniejszym ujawnieniu przez Novo Nordisk incydentu bezpieczeństwa, w ramach którego nieuprawnione osoby uzyskały dostęp do części wewnętrznych systemów IT i wyeksfiltrowały dane związane z badaniami klinicznymi. Firma wskazywała, że naruszone informacje miały charakter pseudonimizowany, co ograniczało możliwość bezpośredniej identyfikacji pacjentów bez dostępu do dodatkowych zbiorów danych.
W kolejnej fazie grupa FulcrumSec zaczęła publicznie budować narrację wokół skali ataku. To dobrze znany model działania środowisk nastawionych na wymuszenia: po uzyskaniu dostępu przestępcy próbują zwiększyć presję na ofiarę poprzez przedstawianie dowodów posiadania danych, podkreślanie ich wartości oraz sugerowanie szerokiego zasięgu kompromitacji.
Analiza techniczna
Najważniejszym elementem technicznym całej sprawy jest deklarowany wektor wejścia oparty na tokenie dostępu do GitHub. Jeżeli taki token jest nadmiernie uprzywilejowany, nie wygasa lub nie jest właściwie chroniony, może stać się początkiem pełnego łańcucha kompromitacji. Atakujący zyskuje wtedy możliwość klonowania repozytoriów, analizy kodu, przeszukiwania historii commitów oraz identyfikowania sekretów zapisanych w plikach konfiguracyjnych lub artefaktach deweloperskich.
Opisany scenariusz sugeruje, że początkowy dostęp mógł posłużyć do odnalezienia dalszych poświadczeń, kluczy API, danych do integracji CI/CD oraz dostępu do usług chmurowych i narzędzi badawczo-rozwojowych. W realiach dużych organizacji farmaceutycznych repozytoria bardzo często zawierają nie tylko kod aplikacji, ale też dokumentację procesową, pipeline’y danych, modele analityczne, komponenty AI oraz metadane wspierające prace R&D.
Szczególne znaczenie mają twierdzenia o możliwej kradzieży materiałów o wysokiej wartości biznesowej, takich jak nieujawnione programy lekowe, zastrzeżone struktury związków, elementy pipeline’u RNAi czy prywatne modele AI. Nawet jeśli część tych deklaracji nie została niezależnie potwierdzona, sam profil rzekomo przejętych danych wskazuje na potencjalne przeniknięcie do środowisk o znaczeniu strategicznym.
Nie mniej istotne są przedstawione przez sprawców próbki dowodowe, obejmujące listy plików oraz skradzione poświadczenia. Z perspektywy zespołów reagowania na incydenty oznacza to konieczność traktowania zdarzenia jako potencjalnie wielowarstwowego, obejmującego zarówno wyciek danych, jak i kompromitację tożsamości maszynowych, sekretów aplikacyjnych oraz kont uprzywilejowanych.
Konsekwencje / ryzyko
Dla sektora life sciences skutki podobnego incydentu mogą być znacznie poważniejsze niż w klasycznych atakach ransomware. Pierwszym obszarem ryzyka jest ekspozycja danych badań klinicznych oraz informacji regulacyjnych. Nawet jeśli dane są pseudonimizowane, nie można całkowicie wykluczyć ryzyka wtórnej reidentyfikacji po połączeniu ich z dodatkowymi zbiorami.
Drugim kluczowym zagrożeniem jest utrata własności intelektualnej. W branży farmaceutycznej takie zasoby są rezultatem wieloletnich inwestycji i mogą mieć bezpośredni wpływ na przewagę konkurencyjną, harmonogram projektów, relacje z partnerami oraz wycenę przedsiębiorstwa.
Trzecim problemem jest możliwość długotrwałej obecności przeciwnika w środowisku. Jeżeli naruszone zostały tokeny i konta wykorzystywane w procesach automatyzacji, integracjach chmurowych lub łańcuchu dostaw oprogramowania, incydent może otworzyć drogę do dalszych nadużyć, modyfikacji kodu, sabotażu buildów albo ataków na podmioty współpracujące.
Nie można też pominąć skutków reputacyjnych i prawnych. Firmy przetwarzające dane medyczne, badawcze i partnerskie muszą liczyć się z obowiązkami notyfikacyjnymi, kosztownym dochodzeniem forensycznym, kontrolami regulacyjnymi oraz potencjalnymi roszczeniami kontraktowymi.
Rekomendacje
Podstawowym działaniem powinien być natychmiastowy przegląd wszystkich tokenów dostępowych, kluczy API i sekretów używanych w repozytoriach, systemach CI/CD oraz integracjach z chmurą. Tokeny powinny być krótkotrwałe, ściśle ograniczone zakresem uprawnień i regularnie rotowane.
Równie ważne jest wzmocnienie bezpieczeństwa platform deweloperskich. Obejmuje to wdrożenie odpornego na phishing MFA, segmentację dostępu do repozytoriów, polityki least privilege oraz monitorowanie anomalii związanych z klonowaniem repozytoriów i wykorzystaniem tokenów osobistych lub serwisowych.
Organizacje powinny także prowadzić pełną inwentaryzację przepływu danych pomiędzy środowiskami badawczymi, deweloperskimi i produkcyjnymi. Mapowanie zależności między repozytoriami, magazynami danych, systemami analitycznymi, narzędziami MLOps i zasobami laboratoryjnymi jest niezbędne do oceny realnej skali kompromitacji.
Z perspektywy reagowania na incydenty należy przyjąć założenie, że przeciwnik mógł uzyskać zarówno dane, jak i poświadczenia. W praktyce oznacza to konieczność masowej rotacji sekretów, audytu kont uprzywilejowanych, analizy logów dostępu do repozytoriów, przeglądu systemów budowania oprogramowania oraz weryfikacji integralności krytycznych artefaktów.
Dla organizacji z branży farmaceutycznej istotne jest również wdrożenie dodatkowych zabezpieczeń wokół danych badań klinicznych i własności intelektualnej. Wśród nich warto wskazać szyfrowanie warstwowe, DLP ukierunkowane na dokumentację R&D, ścisłą kontrolę eksportu danych, znakowanie informacji oraz wyraźne rozdzielenie środowisk badawczych od narzędzi ogólnokorporacyjnych.
Podsumowanie
Domniemany atak na Novo Nordisk pokazuje, że współczesne kampanie wymuszeniowe coraz częściej koncentrują się na zasobach o najwyższej wartości strategicznej: repozytoriach kodu, sekretach dostępowych, danych badań klinicznych i własności intelektualnej. Nawet jeśli część twierdzeń sprawców nadal wymaga weryfikacji, sam scenariusz dobrze ilustruje skalę ryzyka związanego z kompromitacją tożsamości deweloperskich i niewłaściwie chronionych tokenów.
Dla firm działających w sektorach regulowanych to kolejny sygnał, że bezpieczeństwo łańcucha wytwarzania oprogramowania oraz ochrona środowisk R&D powinny być traktowane jako element krytyczny, a nie jedynie funkcja wspierająca działalność biznesową.
Źródła
- SecurityWeek – Cybercrime Group Claims Novo Nordisk Hack
https://www.securityweek.com/cybercrime-group-claims-novo-nordisk-hack/