Firma została założona w 2011 r. przez George'a Kurtza (CEO), Dimitri Aplerovitcha (byłego CTO) oraz Gregga Marstona (byłego CFO). Ma swoją siedzibę w Austin, USA.

Ciekawą postacią jest Shawn Henry, który rok po powstaniu CrowdStrike objął funkcję Dyrektora ds. Bezpieczeństwa i jest nim do dzisiaj. Niewątpliwie pomagają mu w tym kompetencje nabyte w poprzedniej "firmie". Przez prawie 25 lat pracował w FBI. Pod koniec swojej kariery w Federalnym Biurze Śledczym pracował jako Zastępca Dyrektora Wykonawczego i kierował takimi działami jak: Wydział Kryminalny, Wydział ds. Cyberprzestępczości, Wydział Operacji Międzynarodowych oraz Grupa Reagowania na Incydenty Krytyczne. 

W czerwcu 2013 r. CrowdStrike wprowadził na rynek swój pierwszy produkt - pakiet antywirusowy CrowdStrike Falcon. 

Pierwsze poważne misje

Prawdopodobnie dzięki bogatemu doświadczeniu Shawna Henry'ego, CrowdStrike był angażowany w dochodzenia w sprawie kilku głośnych cyberataków w tym na Sony Pictures w 2014 r.

Sony Pictures Hack

Atak znany jako "Sony Pictures Hack" rozpoczął się w listopadzie 2014 r., gdy grupa hackerska Guardians of Peace (GOP) wdarła się do wewnętrznych systemów, wykradła oraz opublikowała w Internecie poufne informacje. Wśród nich znalazły się e-maile, informacje osobiste pracowników, wynagrodzenia kierownictwa, kopie niewydanych filmów, kontrowersyjne rozmowy, dane aktorów oraz producentów. 

Jednak, biorąc pod uwagę pewną produkcję, której premiera została zaplanowana na tamten okres, te wszystkie wykradzione informacje wydają się być skutkiem ubocznym. Mowa tutaj o kontrowersyjnym filmie, będącym satyrą polityczną, The Interview Setha Rogena i Evana Goldberga, w którym dwóch dziennikarzy udaje się do Korei Północnej w celu przeprowadzenia wywiadu z Kim Jong Unem. Brzmi niewinnie, ale główni bohaterowie Dave Skylark i Aaron Rapoport są w rzeczywistości zwerbowanymi przez CIA agentami w celu zlikwidowania koreańskiego przywódcy... 

GOP zagrozili zamachami terrorystycznymi w kinach wyświetlających film. Wiele dużych sieci kinowych w USA zdecydowało nie prowadzić seansów The Interview, a samo Sony postanowiło odwołać premierę filmu i ogólną dystrybucję. Film wydano w formie cyfrowej, a następnie odbyła się ograniczona dystrybucja dzień później. Chyba można powiedzieć, że GOP osiągnęli swój cel, blokując lub bardzo utrudniając premierę filmu.

W mediach atak na Sony nazywano też Sownage. To mix dwóch słów - Sony oraz ownage (w internetowym slangu "pokonanie" lub "zdominowanie"). To gra słów, która odnosi się do upokorzenia lub porażki Sony w wyniku cyberataku. Można stwierdzić, że w obliczu upublicznienia tylu danych przez hakerów, Internet zawłaszczył Sony.

Co na to CrowdStrike

W trakcie analizy eksperci z CrowdStrike zidentyfikowali, że w ataku na Sony Pictures został wykorzystany wiper malware, czyli oprogramowanie całkowicie niszczące dane na zainfekowanych maszynach. W tym przypadku atakujący zastosowali wariant Shamoon (DistTrack), który nadpisywał krytyczne pliki systemowe, uniemożliwiając ich odzyskanie. Co więcej, usuwał kopie zapasowe, skutecznie utrudniając przywrócenie systemu. Oprogramowanie wstrzymywało także uruchomienie systemu operacyjnego po ponownym włączeniu maszyny. Atakujący zastosowali mechanizmy samoniszczące kluczowe dane, co spowodowało, że systemy stały się bezużyteczne. Odzyskanie informacji stało się niemożliwe nawet dla zaawansowanych zespołów zajmujących się infromatyką śledczą. 

Analiza CrowdStrike wykazała także, że atakujący wykorzystali Skrypty PowerShell i narzędzia administracyjne do rozprzestrzenienia złośliwego oprogramowania w sieci Sony. 

Analiza kodu i technik ataku wskazała na podobieństwo do operacji prowadzonych przez grupę Lazarus, powiązaną z rządem Korei Północnej. 

Dmitri Alperovitch, do 2020 r. dyrektor ds. technologii w CrowdStrike, w jednym z wywiadów rekomendował organizacjom takie działania, aby zabezpieczyć się przed podobnymi atakami:

1. Threat Intelligence – Przeprowadź realistyczną ocenę zagrożeń, identyfikując, kto może cię zaatakować i co chcieliby osiągnąć. Zrozumienie krajobrazu zagrożeń pozwala dostosować ochronę do specyfiki twojej organizacji, np. chroniąc urządzenia POS w przypadku ataków cyberprzestępców. Skup się na zabezpieczeniu najważniejszych zasobów, a także zaktualizuj swoją sieć, wdrażając nowoczesne technologie wykrywania punktów końcowych
2. Widoczność punktów końcowych - Zdobądź pełną widoczność w sieci, aby monitorować wszystkie działania, w tym polecenia wykonywane na serwerach, komputerach stacjonarnych, laptopach i urządzeniach zdalnych pracowników. Ważne jest, aby móc dostrzec wszystkie aktywności w czasie rzeczywistym oraz analizować je, by mieć pełny obraz potencjalnych zagrożeń wewnętrznych i zewnętrznych
3. Skupienie na działaniach - Twoje zespoły zabezpieczeń muszą umieć wykorzystywać informacje z real-time visibility, aby wykrywać przeciwników. Zamiast szukać konkretnego złośliwego oprogramowania, obserwuj akcje wykonane przez napastników, takie jak kradzież danych czy utrzymanie dostępu. Dzięki temu możesz zareagować na czas, zapobiegając kradzieży danych lub zniszczeniu systemów. Kluczem jest śledzenie działań w sieci, aby skutecznie chronić organizację.

Atak na Krajowy Komitet Partii Demokratycznej

To nie koniec zaangażowania CrowdStrike w śledztwa w sprawie ataków na tle politycznym. W lipcu 2015 r. rosyjscy hakerzy prawdopodobnie powiązani z agencjami wywiadowczymi, uzyskali nieautoryzowany dostęp do systemów DNC (Democratic National Committee) oraz DCCC (Democratic Congressional Campaign Committee). Pierwszym oficjalnym sygnałem był kontakt FBI z DNC we wrześniu 2015 r., co potwierdził w zeznaniach Yared Tamene Wolde-Yohannes - ówczesny dyrektor IT w DNC. Agent FBI poinformował o podejrzanej aktywności w sieci DNC. Wspomniał o ruchu sieciowym kierowanym do witryny internetowej kończącej się znakiem ukośnika ("/"). Ani dokładny adres IP ani dokładny adres docelowy nie zostały nigdy podane, a atakujących nazwano "Dukes". Jest to termin używany wobec grupy APT29, znanej także jako COZY BEAR, powiązanej z rosyjską Służbą Wywiadu Zagranicznego (SWR). Grupa jest znana z zaawansowanych, długotrwałych ataków cybernetycznych skierowanych głównie w zachodnie rządy i organizacje polityczne. 

Od kwietnia 2016 r. liczba ataków nasiliła się, a w licznych raportach wskazano także, że brała w nich udział grupa FANCY BEAR powiązana GRU, czyli rosyjskim Głównym Zarządem Wywiadowczym. 11 kwietnia 2016 r. FANCY BEAR po raz pierwszy uzyskali dostęp do DCCC, wykorzystując przy tym techniki spearphishingu oraz instalując złośliwe oprogramowanie typu keylogger do rejestrowania wprowadzanych fraz na klawiaturze oraz programów takich jak Mimikatz do przechwytywania obrazu. 14 kwietnia FANCY BEAR załadowali plik rar.exe na serwerze DCCC, co może wskazywać na przygotowanie do eksfiltracji danych. 15 kwietnia FANCY BEAR przeszukiwali jeden z komputerów DCCC, używając fraz takich jak "Hilary", "DNC", "Cruz" czy "Trump". Z tego powodu można przypisywać atakom kontekst polityczny. 

Największa liczba ataków miała miejsce w kwietniu. Wówczas wykradziono 70 GB danych z DCCC, natomiast we wrześniu DNC odpłynęło 300 GB poufnych informacji. Wśród nich znajdowały się setki tysięcy dokumentów, strategie kampanii wyborczych, badania opozycyjne, dane fundraisingowe oraz e-maile pracowników. 

Rola CrowdStrike

CrowdStrike rozpoczęli pracę 1 maja 2016 r. To właśnie oni zidentyfikowali przeciwników, czyli grupy COZY BEAR oraz FANCY BEAR. W trakcie trwania śledztwa CrowdStrike dostarczali wszystkie dowody i analizy FBI. Kluczowym i najciekawszym aspektem było to, że firma nie miała fizycznego dostępu do serwerów DNC, a korzystali z technik obrazowania, co było dość nietypowe, ale skuteczne. 

Metoda obrazowania polega na stworzeniu bajt-po-bajcie kopii nośnika danych, takiego jak, np. dysk twardy. Zawierająone wszystkie dane, w tym usunięte pliki i metadane. Dzięki takiej taktyce, CrowdStrike nie mieli potrzeby ingerowania w systemy. Kopie te zostały udostępnione FBI oraz wykorzystane w dalszym śledztwie. Obrazowanie jest standardową metodą w cyberbezpieczeństwie i pomaga zachować integralność dowodów. 

Jednak, technika obrazowania stała się przedmiotem licznych dyskusji i teorii spisowych, szczególnie w odniesieniu do pierwszego impeachmentu Donalda Trumpa. Wówczas Trump sugerował zaangażowanie Ukrainy, ponieważ zarząd CrowdStrike stanowią osoby ukraińskiego pochodzenia. Firma wielokrotnie dementowała takie wpływy. 

Mimo licznych sukcesów oraz zaangażowania nawet w sprawy wagi państwowej nawet takim firmom jak CrowdStrike, może przydarzyć się wpadka...

Gdy śmierć zagląda w oczy... systemu

Lipcowy incydent CrowdStrike z 2024 roku stanowi doskonały przykład złożoności współczesnych wyzwań w cyberbezpieczeństwie, ukazując zarówno możliwości szybkiej reakcji korporacyjnej, jak i problemy w procesach aktualizacyjnych u partnerów.

Geneza i mechanizm incydentu z lipca 2024

W lipcu 2024 roku świat doświadczył bezprecedensowego paraliżu cyfrowego wywołanego wadliwą aktualizacją oprogramowania CrowdStrike. Incydent ten, który pierwotnie zidentyfikowano w kanale 291 systemu komunikacji międzyprocesowej, doprowadził do globalnych zakłóceń w funkcjonowaniu kluczowych sektorów gospodarki - od linii lotniczych, przez bankowość, po media i inne usługi.

Problem techniczny pojawił się podczas wdrażania nowego szablonu IPC (Inter-Process Communication), który miał wykrywać zaawansowane techniki ataków wykorzystujące mechanizmy komunikacji międzyprocesowej w systemach Windows. Analiza wykazała, że nowy szablon definiował 21 pól parametrów wejściowych, jednak kod integracji dostarczał jedynie 20 wartości. Ta pozornie drobna niezgodność spowodowała katastrofalne konsekwencje - system operacyjny próbując porównać komunikat IPC z niekompletnym szablonem, odczytywał dane spoza zaalokowanego obszaru pamięci, co wywoływało krytyczne błędy prowadzące do awarii systemów i nieskończonych pętli restartów.

Znaczenie kanału 291 w kontekście incydentu

Kanał 291, będący specjalistycznym protokołem w architekturze komunikacji międzyprocesowej CrowdStrike, stał się epicentrum problemu. Przez ten kanał przesyłane były krytyczne definicje zabezpieczeń, które po wadliwej aktualizacji zaczęły destabilizować systemy klientów na całym świecie. Szybka identyfikacja tego kanału jako źródła problemu pozwoliła zespołowi reagowania kryzysowego CrowdStrike na precyzyjne ukierunkowanie działań naprawczych.

Szybka reakcja CrowdStrike na kryzys

Po zidentyfikowaniu problemu w kanale 291, zespół techniczny CrowdStrike zademonstrował wyjątkową sprawność operacyjną. W ciągu kilku godzin od pierwszych zgłoszeń awarii, firma:

1. Zidentyfikowała dokładną przyczynę problemu
2. Wycofała wadliwą aktualizację z systemów dystrybucji
3. Opracowała poprawkę korygującą niezgodność w szablonie IPC
4. Uruchomiła awaryjne procedury komunikacji z klientami

Szybkość reakcji CrowdStrike na incydent była imponująca z perspektywy branżowej, co potwierdziło reputację firmy jako lidera w dziedzinie cyberbezpieczeństwa, zdolnego do efektywnego zarządzania kryzysowego nawet w obliczu globalnych konsekwencji.

Problem braku adekwatnych polityk aktualizacyjnych u partnerów

Mimo błyskawicznej reakcji CrowdStrike, incydent z lipca 2024 obnażył istotne luki w ekosystemie cyberbezpieczeństwa - brak odpowiednich polityk aktualizacyjnych u wielu partnerów i klientów korporacyjnych. Analiza przypadku wykazała, że:

Kluczowe deficyty w politykach aktualizacyjnych

1. Automatyczne wdrażanie aktualizacji bez środowisk testowych
2. Brak procedur weryfikacji zmian przed ich powszechnym wdrożeniem
3. Niewystarczające plany awaryjne umożliwiające szybki rollback w przypadku problemów
4. Niedostateczne monitorowanie wpływu aktualizacji na krytyczne systemy

Szczególnie widoczny był brak testowania aktualizacji w środowiskach pilotażowych przed ich wdrożeniem na systemach produkcyjnych. Organizacje, które stosowały staged rollout (stopniowe wdrażanie) znacznie szybciej zidentyfikowały problem i mogły zminimalizować jego wpływ, podczas gdy te z automatycznymi aktualizacjami doświadczyły pełnej skali zakłóceń.

Wpływ na infrastrukturę krytyczną

Incydent z kanałem 291 pokazał, jak brak odpowiednich polityk aktualizacyjnych może prowadzić do kaskadowego efektu awarii w systemach infrastruktury krytycznej. Lotniska, instytucje finansowe i media, które nie dysponowały odpowiednimi procedurami testowania i wdrażania aktualizacji, doświadczyły najdłuższych okresów przestoju.

Wnioski i rekomendacje po incydencie

Przypadek lipcowego incydentu z kanałem 291 dostarcza cennych lekcji dla całej branży cyberbezpieczeństwa:

1. Nawet najlepsze firmy bezpieczeństwa mogą wydać wadliwą aktualizację, dlatego kluczowe jest posiadanie wielowarstwowych zabezpieczeń
2. Polityki aktualizacyjne powinny zawsze uwzględniać środowiska testowe i mechanizmy szybkiego wycofywania zmian
3. Konieczne jest opracowanie branżowych standardów testowania aktualizacji oprogramowania bezpieczeństwa
4. Organizacje powinny regularnie testować swoje plany ciągłości działania w scenariuszach awarii systemów bezpieczeństwa

Incydent CrowdStrike z lipca 2024 związany z kanałem 291 stanowi paradoksalny przypadek w cyberbezpieczeństwie - pokazuje zarówno zdolność renomowanej firmy do szybkiego reagowania na kryzysy, jak i fundamentalne słabości w ekosystemie partnerów i klientów. Szybka identyfikacja problemu i reakcja CrowdStrike zasługuje na uznanie, jednocześnie brak odpowiednich polityk aktualizacyjnych u partnerów podkreśla potrzebę systemowego podejścia do zarządzania aktualizacjami bezpieczeństwa w środowiskach korporacyjnych.

Przypadek ten powinien służyć jako memento dla całej branży - w cyberbezpieczeństwie nawet najmniejsza niezgodność (brak jednej wartości w szablonie) może prowadzić do globalnych konsekwencji, a dobre praktyki zarządzania aktualizacjami są równie ważne jak samo oprogramowanie zabezpieczające.