Между производителем антивирусного ПО eScan и компанией, специализирующейся на анализе угроз, Morphisec разгорелся спор о том, кто первым обнаружил инцидент с сервером обновлений, который привел к сбоям у некоторых клиентов eScan в начале этого месяца.
Morphisec первой выступила с заявлением в блоге, назвав инцидент «критической компрометацией цепочки поставок» и утверждая, что хакеры использовали собственную систему обновлений eScan для распространения вредоносных файлов и препятствования устранению последствий. Однако eScan, принадлежащая MicroWorld Technologies, заявляет, что версия Morphisec неверна по многим пунктам.
В своем заявлении для The Register eScan сообщила, что обнаружила подозрительную активность через свою внутреннюю систему мониторинга до получения каких-либо внешних уведомлений и начала реагирование на инцидент в тот же день.
«eScan обнаружила подозрительную активность через наши внутренние системы мониторинга 20 января 2026 года и немедленно запустила наш протокол реагирования на инциденты», — заявил представитель компании. «Мы выпустили предварительное уведомление по безопасности для клиентов 21 января 2026 года вместе с исправлением».
Компания утверждает, что Morphisec опубликовала свой блог и сопровождающие публикации в социальных сетях позже в тот же день, заявив об обнаружении инцидента и исказив технические детали и масштаб произошедшего.
В уведомлении для клиентов, которое eScan отправила пострадавшим пользователям 22 января, как видел The Register, представлена гораздо более скромная версия событий. Неавторизованный пользователь получил доступ к конфигурации одного регионального сервера обновлений, в результате чего вредоносный файл ненадолго появился в пути обновления примерно на два часа 20 января. В уведомлении говорится, что распространенный файл не был официальным бинарным файлом eScan или легитимным обновлением, и что в самом продукте eScan уязвимостей не было.
По данным eScan, компьютеры, которые загружали обновления с затронутого сервера в течение короткого периода времени, могли внезапно прекратить обновление, отображать всплывающие окна с ошибками или иметь измененные файлы hosts, что отключало их от серверов обновлений eScan. eScan не сообщает о каких-либо признаках утечки данных из сети и утверждает, что антивирус продолжал выполнять свои основные функции на протяжении всего инцидента.
Это не соответствует описанию Morphisec как критической атаки на цепочку поставок. eScan утверждает, что в отчете Morphisec содержится «множество фактических неточностей», оспаривая заявления о том, как действовало вредоносное ПО и как пострадали системы, и утверждая, что инцидент был ограничен небольшим количеством систем в определенном регионе, а не затронул клиентов по всему миру. На вопрос о том, какой регион был затронут, eScan не ответила.
Однако между двумя версиями есть некоторое совпадение. В то время как eScan отвергает идею о том, что пострадавшие системы были необратимо заблокированы от восстановления, ее собственное уведомление предписывает многим клиентам вручную загружать и запускать инструмент восстановления на отдельных машинах, часто с помощью службы поддержки, для восстановления функциональности обновлений. Другими словами, исправление существовало, но во многих случаях оно все равно требовало ручного вмешательства.
eScan сообщает, что в течение нескольких последующих дней связывалась с пострадавшими клиентами по электронной почте, телефону, WhatsApp* и через свой портал поддержки, и завершила устранение последствий в течение двух-трех дней после выявления проблемы. Компания также временно отключила свою инфраструктуру обновлений для проверки, перестроила затронутые системы, сменила учетные данные и усилила мониторинг, прежде чем вернуть все в онлайн.
Спор с тех пор вышел за рамки противоборствующих заявлений. eScan заявляет, что попросила Morphisec удалить, как она называет, ложные утверждения, что привело к удалению сообщений Morphisec в социальных сетях, но не самого блога. Компания также отмечает, что несколько изданий отозвали статьи, основанные на заявлениях Morphisec, после того как eScan выразила обеспокоенность по поводу их точности. eScan заявляет, что в настоящее время работает с юристами относительно того, что она описывает как заведомо ложные заявления.
«Мы обеспокоены тем, что публикация Morphisec содержит множество заведомо ложных технических утверждений, которые мы подробно задокументировали», — заявил представитель компании The Register. «Мы поддерживаем точность нашего реагирования на инциденты и целостность наших продуктов».
Morphisec не ответила на вопросы The Register, но, похоже, придерживается пересмотренной версии своего уведомления, которая сохраняет основное повествование, включая заявления о том, что это была «критическая компрометация цепочки поставок eScan». ®
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
