Зачем Cisco пустила оборудование для России под нож?
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Зачем Cisco пустила оборудование для России под нож?

Зачем Cisco пустила оборудование для России под нож?

Зачем компания Cisco уничтожила своё оборудование на российских складах? Ответ кажется очевидным: из-за прекращения операционной деятельности в России. Но в Сети ходят и другие версии случившегося. Расскажем подробнее об этом.

 

 

 

 

 

 

  1. Введение
  2. Что можно усмотреть за официальным сообщением?
  3. Предыстория
  4. Что же могло заставить Cisco «опустить гильотину»?
  5. «А был ли мальчик?»
  6. Meraki Cisco
  7. Выводы

Введение

Ранее мы сообщили, что американская компания Cisco Systems «физически уничтожила» запчасти на своих российских складах на сумму 1,9 млрд рублей. Официальная причина — прекращение продаж и невозможность вывезти оборудование с территории России.

«[Материально-производственные] запасы были физически уничтожены в январе 2023 года, в связи с чем по состоянию на 31 декабря 2022 года был начислен резерв под снижение стоимости в полной сумме стоимости запасов — 1,864 млрд рублей», — указывается в документах, на которые ссылается ТАСС. Такой резерв под обесценение запасов не создавался в конце ни 2021 года, ни 2020-го.

Что можно усмотреть за официальным сообщением?

Казалось бы, всё очевидно, но есть ряд признаков, которые трудно состыковать. Например, суммарная стоимость уничтоженного оборудования составляет 23,42 млн долларов США — это слишком много. Подобные списания может позволить себе организация финансируемая из бюджета. Но для коммерческих организаций требуются веские обоснования.

Речь идёт о программно-аппаратных системах, которые можно продавать на других рынках. Если принять во внимание, что сумма типовой крупной сделки составляет около 100 тыс. долларов, получается, что на российских складах Cisco было зарезервировано (на начало 2022 года) оборудования на более чем 200 крупных проектов. Иначе говоря, американская компания планировала активно развивать бизнес в России, а склад был загружен как минимум на год вперёд, хотя обычно закупки делаются поквартально.

Необходимо также напомнить, что деятельность Cisco в России ограничивалась санкциями ЕС, введёнными ещё в 2014 г. Они запрещали компании осуществлять продажи в оборонные ведомства РФ. Например, это заставило Cisco отказаться от намечавшегося крупного проекта с Академией ФСБ России, как сообщало издание BuzzFeed.

Второе, что вызывает удивление при оценке причин уничтожения оборудования Cisco, — это отсутствие судебного иска со стороны американского вендора, если предположить, что препятствия для вывоза оборудования создавала российская сторона. Должны были быть веские причины принять крупные убытки как безвозвратные.

Предыстория

Cisco Systems объявила о прекращении продаж на российском рынке в марте 2022 года. Спустя три месяца компания перестала продлевать лицензии на свои продукты. В это же время появилось официальное сообщение об уходе американского производителя из России и Белоруссии.

К концу 2022 года Cisco Systems сократила штат российского представительства в 12 раз, доведя его до пяти человек. С остальными сотрудниками компания расторгла контракты ещё в середине 2022 года. Выплаты уволившимся составили в общей сложности 190,6 млн рублей (2,4 млн долларов).

Что же могло заставить Cisco «опустить гильотину»?

Сразу отметим, что риск «принудительной национализации» техники Cisco и её попадания в оборонные ведомства РФ многие комментаторы сразу отвергли как маловероятный. В силу разных причин, речь о которых пойдёт позже, такая передача техники Cisco в нынешних условиях рассматривается больше как угроза для безопасности страны, чем как рациональное применение «продукции двойного назначения».

В ходе обсуждения информации на Reddit коллективный разум выдвинул следующие гипотезы:

  • Масштабы уничтожения техники завышены. Например, общая сумма могла включать в себя стоимость нескольких полных лицензий, т. е. речь идёт о завышении пиар-эффекта от произошедшего.
  • Тема Meraki AP и бэкдоров снова в деле. Об этом расскажем далее.
  • Внутренняя «история» Cisco для налоговой отчётности. Компания могла указать цены оборудования для ретейла, которые кратно превышают себестоимость.
  • Обоснование закупок аналогичной техники в Китае, т. е. производство ИТ становится все более глобализированным.
  • Сугубо техническая операция. Затраты на логистику для передачи оборудования в другие страны, «очистку» от локализации, репозиционирование, получение одобрения на использование в других странах и пр. будут стоить миллионы долларов. Возможно, Cisco планирует к запуску новые линейки, поэтому продажа прежнего оборудования, тем более после «обременения», выглядит нерациональной.

«А был ли мальчик?»

Ещё в 2004 году Cisco вместе с Инженерным советом интернета (The Internet Engineering Task Force, IETF), занимающимся вопросами стандартизации, выступила с предложением RFC 3924 (The Cisco Architecture for Lawful Intercept). В нём было предложено реализовать на базе сетевого оборудования специальные средства для «законного перехвата» данных. Это сильно помогло бы спецслужбам использовать «бэкдор» для удалённого входа в маршрутизаторы и «законного управления» в случае необходимости.

Однако о реализации предложений Cisco не сообщалось, особенно после того как в 2010 году IBM продемонстрировала возможность злонамеренного использования предлагаемого протокола для захвата маршрутизаторов под управлением Cisco IOS. Именно такие сетевые модели обычно поступали интернет-провайдерам и крупным предприятиям.

Главная угроза состояла в том, что злоумышленники могли воспользоваться бэкдорами и не оставить при этом никаких следов, по которым в центрах мониторинга (SOC) могли бы распознать кибератаку и предотвратить её. Хотя, конечно, полицейским органам такие «бэкдоры» были бы удобны, потому что позволили бы их агентам беспрепятственно решать свои задачи, не требуя каких-либо согласований. Если бы такой «законный» протокол перехвата появился, то интернет-провайдер не смог бы определить факт «входа», даже если бы тот осуществлялся по решению суда или другому законному запросу.

Угрозу могли представлять и инсайдеры на стороне поставщиков услуг интернета. Узнать о том, что кто-то получил доступ к маршрутизаторам через архитектуру Cisco для «законного перехвата», было бы невозможно.

Казалось бы, проблема была решена. Но в 2013 году с разоблачениями выступило немецкое издание Der Spiegel. Журналисты показали, что АНБ США могло использовать определённые лазейки в маршрутизаторах Cisco. Тогда Cisco категорически отвергла эти обвинения, заявив, что компания не работала с АНБ над внедрением подобных бэкдоров.

На этом история не закончилась. В 2014 году незадокументированный бэкдор был обнаружен в маршрутизаторах Cisco для малого бизнеса. Он позволял злоумышленникам получить доступ к учётным данным пользователя и выполнять произвольные команды с повышенными привилегиями.

В 2015 году в четырёх странах мира (Индия, Мексика, Украина и Филиппины) были обнаружены 14 маршрутизаторов с установленной вредоносной программой SYNful. Вина за их установку была возложена на группу злоумышленников, спонсируемых неким государством, которые воспользовались тем, что на маршрутизаторах действовали административные учётные данные по умолчанию (не заменённые на индивидуальные). Cisco напрямую не попала в расследование, но её бренд «засветился».

В 2017 году была обнародована утечка Wikileaks, где сообщалось, что Cisco преднамеренно сохраняла в своих маршрутизаторах аппаратную уязвимость, которая позволила ЦРУ США удалённо управлять более чем 300 моделями коммутаторов Cisco.

Эта тема вновь стала предметом бурных обсуждений в 2018 году, когда в маршрутизаторах Cisco были последовательно найдены сразу пять незарегистрированных бэкдоров. Хотя это не компрометировало бренд напрямую, эксперты по ИБ помнили предысторию.

Meraki Cisco

Настал момент, когда стоит напомнить, что решение об уничтожении оборудования Cisco в России было принято в январе. Незадолго до этого, 21 декабря 2022 года, дочерняя компания Meraki Cisco приняла решение отключить все сетевые устройства Cisco, расположенные в России и Беларуси, от своих облачных сервисов. Об этом порталу «Хабр» сообщили российские клиенты, получившие письмо от поставщика услуг.

В письме сообщалось, что маршрутизаторы и точки доступа, настроенные на работу в облаке, будут заблокированы на серверах компании и для них не будут передаваться обновления прошивки. Пользователи из этих стран также лишались возможности видеть оборудование в своих личных кабинетах. Сообщалось, что отключение устройств будет осуществляться из расчёта их местоположения по геолокации. Это решение принималось исходя из требований законов США и материнской компании Cisco.

История с Meraki стала публичной благодаря тому, что пользователи сервиса были оповещены официально. В то же время, как сообщали российские пользователи в социальных сетях, де-факто Meraki Cisco отключила российских клиентов от своих облачных сервисов раньше, ещё в октябре 2022 года.

5 ноября пользователь с никнеймом «Gryphonv» продемонстрировал на «Хабре», что Meraki удалённо заблокировала свои устройства (точки доступа) и создала частную сеть с названием «12345-Sanctions», через которую доступ к устройствам мог получить любой пользователь этой сети. Meraki не только взяла под свой контроль оборудование на стороне клиентов, но и потребовала вернуть его без каких-либо компенсаций от производителя.

После того как в ноябре некий пользователь с ником «Edward» сумел показать, что источником нарушений был именно маршрутизатор Meraki, компания восстановила ему нормальную работоспособность без каких-либо разъяснений относительно того, почему были введены ограничения.

Добавим также, что в декабре 2022 года появилась информация о возможном возобновлении поставок оборудования Cisco в Россию.

Выводы

Мы собрали разные версии того, почему была уничтожена техника Cisco на российских складах. Какая из них достоверна и есть ли другие объяснения — решать читателям.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru