Miliarder chciał bombardować Iran, w odpowiedzi ktoś skasował mu serwery

dodał 16 grudnia 2014 o 18:19 w kategorii Włamania  z tagami:
Miliarder chciał bombardować Iran, w odpowiedzi ktoś skasował mu serwery

Jeden z najbogatszych ludzi świata, właściciel największego kasyna, wezwał publicznie do zrzucenia na Iran bomby jądrowej. Kilka miesięcy później większość serwerów i stacji roboczych jego firmy zostało uszkodzonych przez prostego wirusa.

Czasem kilka publicznie wygłoszonych zdań może mieć zaskakujący skutek. Przekonał się o tym amerykański miliarder, którego kontrowersyjna wypowiedź prawdopodobnie była powodem skutecznego ataku informatycznego na jego firmę.

Zrzućmy bombę na dobry początek negocjacji

Sheldon Adelson regularnie znajduje się w czołówce najbogatszych ludzi świata. Jest głównym udziałowcem największej sieci kasyn na świecie. Jego świątynie hazardu w Las Vegas, Makau czy Singapurze przynoszą ogromne zyski. Jest także największym sponsorem Partii Republikańskiej, przyjacielem Izraela i wrogiem Iranu. W październiku 2013 szerokim echem odbiła się jego publiczna wypowiedź o tym, że negocjacje na temat broni jądrowej z Iranem powinny zacząć się od prewencyjnego ataku nuklearnego na irańskie obszary pustynne i groźby, że kolejna bomba spadnie na Teheran.

Jak nietrudno zgadnąć, pomysł Adelsona nie został ciepło przyjęty w Iranie oraz wśród sympatyków tego kraju. Skutki jego wypowiedzi miały się pojawić już kilka tygodni później w logach serwerów jego firmy.

Las Vegas, mamy awarię

Kasyna Adelsona dysponowały sporą armią osób odpowiedzialnych za bezpieczeństwo fizyczne. On sam poruszał się zawsze w grupie ochroniarzy, podobno byłych pracowników Secret Service i Mossadu. Bezpieczeństwo informacji było jednak ciągle w powijakach. Program rozwoju tego obszaru dopiero wystartował i zabezpieczeniami systemów IT zajmowało się tylko 5 osób.

10 lutego 2014 zespół ten stanął przed niełatwym zadaniem. Nagle komputery setek użytkowników w głównym kasynie firmy w Las Vegas przestały się uruchamiać. Ekrany gasły, padł system pocztowy i sieć telefoniczna. W ciągu godziny administratorzy postawili prawidłową diagnozę – był to niszczycielski atak na infrastrukturę firmy. Aby uratować chociaż część urządzeń, pracownicy zaczęli wojnę z czasem biegając po korytarzach kasyna i wyrywając wszystkie kable sieciowe z gniazd.

Zaatakowane kasyno

Zaatakowane kasyno

Pracownicy sami wymyślili procedury awaryjne – dzięki prywatnym telefonom i smartfonom odzyskali możliwość komunikacji. Zaczęli korzystać z prywatnych skrzynek, by móc wymieniać się korespondencją. Tymczasem administratorzy oceniali skalę szkód – od systemów biurowych dużo ważniejsze były te, które zapewniały ciągłość działania kasyna. Padł system lojalnościowy, systemy monitoringu wygranych a także platforma do archiwizacji danych. Na szczęście dla kasyna kluczowe systemy, oparte o rozwiązania typu mainframe, nadal funkcjonowały prawidłowo. Goście mogli dostać się do swoich pokoi, maszyny przyjmowały monety a krupierzy rozdawali karty. Prawie 3/4 serwerów i komputerów było jednak uszkodzonych – jak włamywaczom udało się osiągnąć taką skalę zniszczenia?

Krok po kroku, etap po etapie

Analiza przeprowadzona przez firmę Dell SecureWorks pozwoliła odtworzyć kolejne ruchy włamywaczy. Pierwsze próby uzyskania nieautoryzowanego dostępu zaobserwowano już pod koniec roku 2013. Na początku stycznia wysiłki włamywaczy skoncentrowały się na najmniejszym kasynie spółki, Sands Bethlehem. Atakujący podejmowali tysiące prób odgadnięcia hasła użytkowników usługi VPN. Po pierwszych próbach 8 stycznia, kolejne fale ataków miały miejsce 21 i 26 stycznia. Dwóch różnych włamywaczy testowało tysiące haseł – lecz ciągle bezskutecznie. Lokalny administrator, który zauważył atak, poinformował o tym dział bezpieczeństwa w Las Vegas. Po konsultacjach atakowane loginy zostały przeniesione do grupy, w której niezbędne było dwuskładnikowe uwierzytelnienie. Atak nie wzbudził obaw, ponieważ przypominał inne działania przypadkowych włamywaczy.

1 lutego atakujący zmienili taktykę i zlokalizowali testowy serwer WWW. Bez problemu dostali się do tego systemu i skorzystali z narzędzia mimikatz, pozwalającego na odzyskanie haseł niedawno zalogowanych użytkowników z pamięci komputera. Dzięki zebranym w ten sposób informacjom uzyskali dostęp do większości komputerów w tym oddziale firmy, jednak ich celem była centrala w Las Vegas, a sieci obu placówek były rozdzielone. Włamywaczom sprzyjało jednak szczęście, bo 9 lutego natrafili na jednym z komputerów na znajdujące się ciągle w pamięci hasło administratora, który przyjechał z wizytą z centrali.

Teraz będziemy siać zniszczenie skryptem

Włamywacze szybko skorzystali ze zdobytego hasła by dostać się do infrastruktury firmy w Las Vegas. Natychmiast rozpoczęli zbieranie interesujących danych oraz przygotowywanie narzędzia destrukcji. Według informacji Bloomberga kluczowym komponentem ataku był… skrypt w Visual Basicu. Liczący jedynie ok. 150 wierszy skrypt potrafił rozmnażać się między komputerami i serwerami a na zainfekowanych urządzeniach nadpisywał kluczowe obszary dysku twardego a następnie restartował komputer. Skutkiem jego działania było dość trwałe wyłączenie sprzętu z użytkowania.

Rano 10 lutego skrypt ruszył siać zniszczenie. Jednocześnie włamywacze, korzystając z zamieszania, kopiowali istotne informacje z serwerów firmy. Interesowały ich dane najbogatszych graczy, plany sieci czy inwentaryzacje sprzętu. Gdy po pewnym czasie administratorzy zwrócili uwagę na te działania, prezes firmy podjął decyzję o odłączeniu całej organizacji od sieci. Poważnie utrudniło to funkcjonowanie kasyna, ale prawdopodobnie ograniczyło skalę strat.

A to nie koniec ataków

Włamywacze popełnili jeden istotny błąd, dzięki któremu firma uchroniła się przed znacznie poważniejszymi stratami. Jedną z pierwszych zaatakowanych i wyłączonych maszyn był serwer Active Directory. Jego awaria sprawiła, że przestały działać łącza do innych oddziałów firmy, dzięki czemu złośliwy skrypt nie dotarł do urządzeń w Chinach lub Singapurze.

Mimo poważnych zniszczeń strony internetowe firmy ciągle działały, ponieważ były utrzymywane na serwerach dostawców. Włamywacze o nich jednak nie zapomnieli i podmienili ich zawartość już następnego dnia. Zamieścili na nich mapę lokalizacji firmy z płomieniami w miejscu zdjęć hoteli, garść danych osobowych pracowników firmy oraz informację, że atak jest skutkiem kontrowersyjnej wypowiedzi właściciela firmy.

Podmieniona strona

Podmieniona strona

Kasyno zareagowało dość oryginalnie, ponieważ w prasie przyznało się jedynie do chwilowej utraty kontroli nad swoimi stronami WWW i nie wspomniało o włamaniu do sieci wewnętrznej. Włamywaczom niezbyt się to spodobało i swoje niezadowolenie wyrazili w filmie opublikowanym w serwisie Youtube. 11-minutowe nagranie zaczynało się od cytatów z wypowiedzi właściciela kasyna, by następnie przejść do demonstracji około terabajta danych skradzionych w trakcie ataku. Wideo zostało usunięte w ciągu kilku godzin i nie pojawiło się ponownie.Aż do momentu opublikowania artykułu Bloomberga informacje o prawdziwej skali ataku nie były publicznie dostępne. Jak zatem widać, włamywacze, którzy zaatakowali Sony, byli dużo lepiej przygotowani do udowodnienia swojego sukcesu.

Firma Dell SecureWorks, która prowadziła śledztwo, wskazała na ślady włamywaczy prowadzące do Iranu, jednak nie była w stanie ustalić tożsamości atakujących. Poszkodowane kasyno do tej pory odbudowuje niektóre zniszczone systemy, a koszt całej operacji szacowany jest na ponad 40 milionów dolarów. Czy warto było oszczędzać na bezpieczeństwie informacji?