Рансомварная группировка Akira добавила Apache OpenOffice в свой «лист утечек» и заявила о хищении 23 ГБ данных с персональной информацией сотрудников и финансовыми документами. Представители Apache Software Foundation (ASF) уже сообщили, что начали проверку, но подчеркнули: таких массивов данных у проекта попросту нет, а запросов на выкуп не поступало.
Akira заявляет о взломе Apache OpenOffice: что именно утверждают вымогатели
30 октября 2025 года на даркнет-площадке Akira появилось сообщение о «взломе» Apache OpenOffice. По словам операторов, в их распоряжении якобы оказались адреса проживания, телефоны, даты рождения, копии документов, номера социального страхования и данные банковских карт, а также финансовые файлы и внутренние отчеты о проблемах приложения. Группировка пригрозила публичной публикацией, если не будет выполнено их требование.
Позиция Apache Software Foundation и специфика open source
ASF заявила СМИ, что проверяет информацию, но опровергла саму возможность компрометации описанных массивов. OpenOffice — волонтерский опенсорсный проект без штатных сотрудников и зарплатных ведомостей, а разработка ведется через публичные каналы коммуникации. Баг-репорты, запросы фич и инженерные обсуждения доступны всем изначально, что делает «утечку» подобных внутренних материалов маловероятной по определению.
Дополнительно ASF отметила, что не получала вымогательских писем, что нетипично для сценариев «двойного вымогательства», когда злоумышленники сначала связываются с жертвой, а затем публикуют анонс на «слив-сайте» для давления.
Кто такие Akira: тактика, техники и процедуры
Akira — известная с 2023 года группировка, практикующая модель double extortion: перед шифрованием сетей операторы выносят чувствительные файлы и торгуют угрозой их публикации. По данным совместных бюллетеней профильных регуляторов (включая CISA и FBI), группы этого класса активно используют компрометацию VPN без многофакторной аутентификации, подбор учетных данных, злоупотребление легитимными админ-инструментами, а для эксфильтрации — облачные хранилища и утилиты вроде Rclone.
В их тактиках нередко встречается «бренд-листинг» — добавление организаций на сайт утечек до подтверждения компрометации. Такая тактика повышает репутационное давление на предполагаемую жертву и может подталкивать к контакту, даже если фактического доступа у злоумышленников не было.
Оценка риска: какие сценарии возможны
1) Ошибка или намеренная дезинформация со стороны злоумышленников
С учетом публичной и децентрализованной природы проекта OpenOffice, декларируемые массивы персональных данных сотрудников и платежной информации выглядят несоответствующими реальности. Вероятен сценарий давления без реальной компрометации.
2) Косвенная компрометация
Даже при отсутствии централизованных кадровых и финансовых баз есть риски через смежные контуры — например, экосистемные интеграции, подрядчиков, индивидуальные устройства контрибьюторов или сторонние сервисы (почта, CI/CD, облачное хранилище). В таком случае «утечка» была бы периферийной, а не из инфраструктуры ASF.
3) Ограниченный доступ к непубличным артефактам
Теоретически у отдельных мейнтейнеров могут быть приватные черновики, резервные копии или токены доступа. Но даже тогда это не коррелирует с массивами PII «штатных сотрудников» и «карточными данными», которых, по заявлению ASF, не существует.
Рекомендации по кибербезопасности для open source-проектов и фондов
Минимизация данных: хранить ровно то, что необходимо для работы сообщества; избегать сбора PII по умолчанию. Жесткое MFA на почте, VPN, репозиториях и админ-панелях; предпочтение аппаратным ключам (FIDO2). Сегментация и принцип наименьших привилегий для всех сервисов, включая CI/CD и артефакт-хранилища.
Защита цепочки поставок: обязательная подпись релизов (PGP/Sigstore), воспроизводимые сборки, контроль целостности зависимостей, изоляция билд-пайплайнов. Почтовая защита (SPF, DKIM, DMARC) и обучение контрибьюторов фишингу. Мониторинг утечек и регулярная проверка «слив-сайтов» на предмет упоминаний бренда, с отработкой процедур реагирования.
Пока нет предъявленных доказательств и расхождения в фактах существенны, заявление Akira следует трактовать осторожно. Организациям, работающим с открытым кодом, важно укреплять принципы «минимизации данных», повсеместно внедрять MFA и дисциплину управления привилегиями. Подпишитесь на бюллетени CISA/FBI и отслеживайте индикаторы компрометации: даже когда «громкие» заявления оказываются блефом, они служат напоминанием о необходимости оперативной гигиены и устойчивости цепочек поставок.
