28.01.2017 | 19:20

Adam Haertle

Ransomware zaatakowało austriacki hotel i zablokowało zamki wszystkich pokoi

Piękny austriacki hotel rozważa powrót do tradycyjnych zamków w drzwiach pokoi, po tym jak kolejny atak hakerów wyłączył system zarządzania dostępem do pokoi, uniemożliwiając otwieranie i zamykanie drzwi.

Prognozy na rok 2017 przewidywały ataki ransomware na infrastrukturę biznesową – choć nie spodziewaliśmy się, ze spełnią się tak szybko i w tak pięknej scenerii. Jak donoszą austriackie media, jeden z lokalnych hoteli stał się ulubionym celem hakerów, którzy w jednym z ataków wyłączyli system odpowiadający za obsługę elektronicznych zamków w drzwiach pokoi.

Kilka dni po naszej publikacji kierownik hotelu doprecyzował, że atak spowodował brak możliwości wydawania nowych kart dostępu klientom.

Klucze za bitcoiny

Jak donosi serwis o pięknej i bardzo niemieckiej nazwie AHGZ Allgemeine Hotel- und Gastronomie-Zeitung (czyli Ogólne Czasopismo Sektora Hotelarskiego i Gastronomicznego), jeden z austriackich hoteli nie miał ostatnio szczęścia do hakerów. Christoph Brandstätter, kierownik hotelu Seehotel Jägerwirt poinformował, że ma już dosyć komputeryzacji i po 17 latach od wprowadzenia systemu elektronicznego dostępu do pokoi planuje w najbliższym czasie ponownie zainstalować w nich tradycyjne zamki. Wspomina, ze hotel już czterokrotnie padł ofiarą ataków hakerów. Dostawali się oni do systemów hotelowych za pomocą wiadomości phishingowych. Dwa ataki udało się powstrzymać, jednak podczas trzeciego z nich, który miał miejsce na początku stycznia 2017, włamywacze uruchomili ransowmare, które uniemożliwiło działanie systemu sterującego zamkami w pokojach. Kierownictwo hotelu, chcąc uniknąć paniki wśród klientów, rzekomo zapłaciło okup w wysokości 2 bitcoinów (około 7000 PLN). Klienci nie zdążyli się zorientować, że atak miał miejsce, ponieważ wydarzył się w środku dnia, gdy wszyscy byli na stokach narciarskich. Co prawda spodziewamy się, że tego typu systemy raczej powinny mieć opcję otwierania awaryjnego w razie np. zaniku zasilania – natomiast brak możliwości zamknięcia drzwi mógł być wystarczająco uciążliwy dla gości hotelowych.

Zaatakowany hotel

Jak donosi inny serwis włamywacze próbowali wrócić do hotelowych systemów kilkanaście dni później, jednak ze względu na wprowadzoną segmentację sieci oraz wymianę części sprzętu ten atak udało się powstrzymać. Kierownictwo hotelu nie czuje się jednak komfortowo w obliczu ciągłych zagrożeń, zatem, zgodnie także z oczekiwaniami części klientów szukających bardziej przytulnej i domowej atmosfery, hotel wkrótce wróci do rozwiązań sprzed ery komputerów.

Nie tylko hotele

A skoro już piszemy o ransomware, nie sposób nie wspomnieć świeżej historii pewnego komisariatu w USA, który przez ransomware stracił 9 lat archiwum dowodów cyfrowych. Po stwierdzeniu, że wszystkie dane zostały zaszyfrowane, policjanci skonsultowali się z FBI. FBI zapytało, czy mają kopie bezpieczeństwa, a policjanci potwierdzili. FBI dodało, że nie wiadomo, czy po zapłaceniu okupu faktycznie dojdzie do odszyfrowania (choć prawdopodobnie pliki zaszyfrowane były odmianą Locky, którego twórcy raczej dostarczają narzędzia deszyfrujące po otrzymaniu płatności). Policjanci więc najpierw wyczyścili zaszyfrowane dyski, by potem sprawdzić backupy. Niestety okazało się, że backupy zawierały już zaszyfrowane pliki a starszych kopii nie było. Pamiętajcie, najpierw sprawdzamy backupy, potem czyścimy dyski…

Powrót

Komentarze

  • 2017.01.28 19:33 Krzysztof

    Co prawda mamy erę IoT, ale po co zamki w drzwiach mają fizyczne podpięcie do internetu? Tego typu infrastruktura powinna działać co najwyżej w wewnętrznej, całkowicie odizolowanej sieci.

    Odpowiedz
    • 2017.01.28 20:43 pm

      Widać, ktoś chciał mieć możliwość zdalnego (np. ze smartphone’a?) otwierania/zamykania zamków, albo przeglądać sobie internet z komputera. To drugie jest pewnie bardziej prawdopodobne, bo to brzmi jakby ktoś ściągnął cryptolockera, czy coś podobnego. Tym bardziej, że:
      „Jak donosi inny serwis włamywacze próbowali wrócić do hotelowych systemów kilkanaście dni później, jednak ze względu na wprowadzoną segmentację sieci oraz wymianę części sprzętu ten atak udało się powstrzymać.”
      Nie zdziwiłbym się, jeżeli to ta sama osoba znowu ściągnęła cryptolockera, ale tym razem na inny komputer, bo ten od zamków został odłączony od Internetu :)

      Odpowiedz
    • 2017.01.28 20:50 adam

      To samo mnie zastanawia.
      Przynajmniej oddzielny vlan bez połączenia z pozostałymi i z internetem..

      Odpowiedz
      • 2017.01.29 14:46 nusch

        Widziałeś kiedyś VLAN w hotelu :) ? Nawet osobna klase adresową dla komputerów recepcji, kamer i terminali ciężko spotkać

        Odpowiedz
    • 2017.01.29 00:03 Krzysztof

      Dokładnie! Wszystko można oprzeć o IT, serwery i zdalne zarządzanie. Należy to jednak robić zachowując zasady bezpieczeństwa – oddzielny vlan dla systemu zamków i serwera zarządzającego nie posiadającego dostępu do internetu oraz prowadzenie systemu backupów umożliwiającego przywrócenie maszyny (wirtualnej rzecz jasna) do stanu sprzed max 1 dnia wstecz. To – przynajmniej dla mnie – takie minimum…

      Odpowiedz
      • 2017.01.30 09:59 e

        Co pomoże VLAN albo inny sposób izolacji, skoro komputer na recepcji z założenia ma dostęp do zamków, kamer i internetu?

        Odpowiedz
    • 2017.01.29 05:14 poyebb

      Bo to pewnie było tak, że zamki jedynie były podpięte do sieci lokalnej i komputera kontrolnego, a ten miał dostęp do internetu.

      Odpowiedz
    • 2017.01.29 11:43 K6T

      W systemach z którymi się spotkałem kontrolery dostępu („zamki”) nie są podłączone do ethernetu. Jest dla nich osobna infrastruktura (chyba oparta na rs-485 lub coś podobnego). Kontrolery mają swoją pamięć, do której zapisujesz kody/karty i ich uprawnienia. Dodatkowo w tej pamięci przechowywane są zdarzenia (otwarcia, zamknięcia, awarie) które możesz sobie zdalnie odczytać. W każdym razie myślę że atakujący przejęli PC w recepcji który zarządzał infrastrukturą + dodatkowo np. wyczyścili pamięci w kontrolerach.

      Odpowiedz
      • 2017.01.30 00:34 Duży Pies

        Czyli wystarczy sieć zarządzającą „zamkami” (niech to będzie przykładowo Profibus) izolować od Internetu i problem z głowy, nie trzeba rezygnować z elektroniki. Albo zrobić dostęp przez osobne łącze albo VPN lub SSH.

        Odpowiedz
  • 2017.01.28 22:36 janusz

    Jeżeli tak często wracali wyłącznie przy użyciu wiadomości phishingowych, to przyjrzałbym się pracownikom, szczególnie tym o dziwnie polsko i rosyjsko brzmiących nazwiskach.

    Odpowiedz
  • 2017.01.28 23:00 max

    A skad wiecie ze bylo podpiecie do internetu?

    Odpowiedz
  • 2017.01.28 23:01 Filip Amator

    Już o tym kiedyś pisałem, że po ataku na instytucję rządową znajomego (w Kanadzie) zarząd zdecydował przenieść część ważnych spraw na papier. Zatrudnienie paru dodatkowych sekretarek było tańsze o wymiany sieci i nowych ludzi od IT.

    Odpowiedz
  • 2017.01.28 23:02 max

    Prawdopodobnie na kompie na ktorym byl system od zamkow odpalil ktos zwyklego cryptolockera. A czy go sciagnal z maila czy przyniosl na dyskietce…

    Odpowiedz
  • 2017.01.29 09:44 q

    Nadchodzi czas różnicowych systemów plików.

    Odpowiedz
  • 2017.01.29 15:32 Niko Bellic

    Następny etap:
    – w środku nocy (kiedy goście śpią) włamanie skutkujące uniemożliwieniem otwierania drzwi w pokojach i w ogóle w całym hotelu
    – wyłączenie systemu przeciwpożarowego
    – jakiś zmyślny atak skutkujący wybuchem pożaru
    Welcome to 21st Century!

    Odpowiedz
    • 2017.01.31 23:55 fyx

      Zamki w drzwiach hoteli ze względów pożarowych zawsze można otworzyć od środka, nawet gdy nie mają zasilania. Nie można ich też w żaden sposób zablokować żeby nie dało się tego zrobić. Stąd jeden ze sposobów włamań do pokoi hotelowych, przez wciśnięcie klamki od środka.

      Odpowiedz
  • 2017.01.29 16:51 Włyniarz

    Troche tego nie rozuniem. Czy nie prosciej by bylo wlaczyc „whitelisting” w optogramowaniu AV i zezwolic na uruchamianie tylko „zaufanych” plikow?
    Mysle se by to pomoglo na wiekszosc szkodliwego softu – poprawcie mnie jesli sie myle.

    Odpowiedz
    • 2017.01.29 17:40 K6T

      jeszcze prostsze byloby wyciagniecie wnioskow z 1 ataku. Sorry, ale jesli ktos lapie sie 4x na phishing, to albo jest idiota albo sabotazysta

      Odpowiedz
  • 2017.01.30 10:40 Zdzich

    „Christoph Brandstätter, (…) poinformował, że ma już dosyć komputeryzacji (…) Wspomina, ze hotel już czterokrotnie padł ofiarą ataków hakerów. Dostawali się oni do systemów hotelowych za pomocą wiadomości phishingowych.” – brzmi jakby sam mówił „nie wiem jak odróżniać phishing od prawidłowych wiadomości – zabierzcie ode mnie ten komputer i wymieńcie zamki” ;-)

    Odpowiedz
  • 2017.01.30 16:54 Kappa

    >Hotel o bardzo wysokim standardzie popełnia idiotyczne błędy na poziomie infrastruktury sieciowej, zezwalając na to, żeby komputery w podsieci sterującej zamkami miały otwartą furtkę na świat zewnętrzny

    Druga dekada XXI wieku, nie wiem jak to skomentować…

    Już nawet nie wspominając o zerowym poziomie wiedzy/wyszkolenia pracowników, którzy łapią się jak dzieci na phishing uruchamiając malware na hotelowym sprzęcie… Cholera, chyba właśnie o tym wspomniałem xD

    I to są te słynne hotele za 5000zł/noc?
    Brak słów

    Odpowiedz
  • 2017.01.30 20:57 hmm

    jak ransomware zaatakuje sedes, to sie sedes wyrwie.

    Odpowiedz
  • 2017.01.30 21:46 kwasior

    Bzdura, co najwyzej zablkowano mozliwosc kodowania nowych kart.
    Wiadomosc poplynela swoim torem i urosla do wielkiej bzdury.
    W rzeczywistosci kazdy zamek w hotelu ktory ma zamiar sie ubezpieczyc musi miec mozliwosc otwarcia za pomoca klucza mechanicznego. A z doswiadczenia wiem ze nacisniecie klamki od strony pokoju odblokowuje zarowno zatrzask jak i skobel (jesli byl zablkowany). Po prostu takie sa wymagania PPOZ. A zapewne soft do zamkow to Vision/Vingcard firmy assa abloy na bazie bde i XP jako OS, wiec ransomware na pliku bazy zaszyfrowal baze zamkow i uniemozliwil kodowanie nowych kart.

    Odpowiedz
    • 2017.01.31 00:54 Przemko

      XP jako OS, no to by wiele tłumaczyło, dzięki za ten komentarz. Mam kolegę hotelarza ale zupełnie nietechniczny, zawsze mnie ciekawiło jak te systemy banglają.

      Odpowiedz
    • 2017.02.01 08:54 Piotr

      Tak, masz rację. Przydałoby się sprostowanie albo aktualizacja i następnym razem większa czujność drogie Z3S.
      https://motherboard.vice.com/en_uk/read/luxury-hotel-goes-analog-to-fight-ransomware-attacks i
      „The main problem, according to Brandstaetter, was the hotel was unable to issue new key cards to guests who arrived during the 24 hours that the hotel’s reservation system was down”

      Odpowiedz
      • 2017.02.03 12:25 Piotr

        A ten cytat „The main problem, according to Brandstaetter, was the hotel was unable to issue new key cards to guests who arrived during the 24 hours that the hotel’s reservation system was down”
        świadczy dokładnie o tym, że był wykorzystywany najprostszy system i włamywacz po postu skasował lub uszkodził bazę danych.

        Odpowiedz
  • 2017.02.03 12:22 Piotr

    Mocno naciągany i nierzetelny ten artykuł.
    Ponieważ miewam do czynienia z takimi systemami:
    Zaczynimy od tego, że zdecydowana większość używanych w hotelach systemów KD stosuje w pokojach hotelach zamki indywidualne, bateryjne pracujące kompletnie bez jakiegokolwiek połączenia sieciowego. Dostęp do zamka jest tylko
    przy użyciu karty (programowanej wcześniej w recepcji), która umożliwia TYLKO OTWARCIE NA PARĘ SEKUND RYGLA ZAMKA. Nie ma ŻADNEJ MOŻLIWOŚCI zmusić programowo rygiel do pozycji „ciągle otwarty”. Powód prozaiczny: bateria ma starczyć na jak najwięcej otwarć drzwi (ok 2 lat).
    W tym przypadku oprogramowanie jest tylko w komputerze recepcji i wg mnie, najbardziej szkodliwy i jednocześnie najprostszy atak to uszkodzenie bądź wyczyszczenie bazy danych, co w zasadzie uniemożliwia rejestrację kolejnych gości, programowanie kart itd. Zaprogramowane wcześniej karty działają do czasu utracenia okresu ważności-dane są zapisane na karcie. i takie systemy są stosowane w zdecydowanej większości hoteli (najniższa cena i wystarczające możliwości)

    W przypadku systemu sieciowego (gdy karta jest tyko nr identyfikacyjnym, a wszystkie dane są przechowywane na serwerze) również wystarczy operacja jak wcześnie. Konsekwencje będą jednak poważniejsze, bo uniemożliwią działanie również bieżących kart (klient nie wejdzie do pokoju hotelowego)
    W otwarcie wszystkich drzwi nie wierzę z prostego powodu.
    1. włamywacz musiałby się pobawić (lub znać) oprogramowanie systemu hotelowego by wiedzieć, w których rekordach bazy danych są zapisane stany drzwi(otwarte/zamknięte). Następnie zmienić te rekordy i uniemożliwić personelowi hotelu dostęp do programu.
    Mało realne.

    Jest jeszcze opcja (wymagana prawem) odblokowania wszystkich drzwi na drogach ewakuacyjnych w przypadku zadziałania systemu pożarowego (wykrycia pożaru) Jednak w 99,99% nie dotyczy to pokojów hotelowych a po drugie realizowana jest „na sztywno”-czyli kablowo nie programowo.
    I najważniejsze – drzwi od strony pokoju otwierają się klamką (w kierunku ewakuacji) więc nie ma potrzeby odblokowywania czegokolwiek.

    Oczywiście są systemy, w których kontroler każdych drzwi komunikują się po sieci IP, mają własny adres i pamięć. Przechowują wszystkie dane w przypadku awarii centralnego serwera. To są jednak systemy drogie i absolutnie nie są stosowane w hotelach.

    Odpowiedz
  • 2017.02.06 17:16 pol literat

    Ktos bedacy w hotelu mogl wlamac sie przez hotelowy Lan. Wedkowanie bylo tylko przyneta.

    Odpowiedz

Zostaw odpowiedź do pol literat

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ransomware zaatakowało austriacki hotel i zablokowało zamki wszystkich pokoi

Komentarze