Így hasalt el Dallas informatikája

Dallas városának illetékesei az eddigieknél részletesebben számoltak be a tavaszi kibertámadásról, amely sok tanulsággal szolgált.
 

Dallas városának számos létfontosságú rendszere bénult meg 2023. május 3-án, amikor egy kibertámadás következtében számos kiszolgálót kellett nagyon gyorsan leállítani. Már akkor kiderült, hogy az incidens mögött egy zsarolóvírussal elkövetett támadás húzódik meg, amelyet a biztonsági monitorozó rendszerek detektáltak, és jelezték az illetékes SOC (Security Operations Center) csapat számára. A zsarolás ténye nem maradt sokáig rejtve, mivel az érintett intézetek, szervezetek egyes hálózati nyomtatóira is kiküldték a követeléseiket az elkövetők. Az incidens az önkormányzat rendszerei mellett egyebek mellett a helyi rendőrség infrastruktúráját is érzékenyen érintette, és komoly fennakadásokat okozott. 

Mi történt valójában?

Dallas városa az elmúlt napokban adott tájékoztatást arról, hogy mi is történt májusban. Az azóta elvégzett vizsgálatok során a szakemberek (köztük külsős szakértők is) több mint egy terabájtnyi naplóállományt elemeztek. Megállapították, hogy a támadás több fázisban zajlott le. Az elkövetők első lépésként lopott hitelesítő adatok révén 2023. április 7-én hozzáférést szereztek a város egyik informatikai (domain/tartományi) szolgáltatásához, majd egészen május 3-ig lapultak.

Május 3-én helyi idő szerint éjjeli 2 órakor kezdetét vette az alvilági akció, aminek során (többek között Cobalt Strike használatával) a feketekalapos hackerek elkezdték terjeszteni a hálózatban a Royal zsarolóprogramot, amelyet több kiszolgálóra is feljuttattak. Majd elkezdték az érintett kiszolgálók titkosítását, illetve az adatszivárogtatást. 

A támadás detektálását követően a szakemberek azonnal életbe léptették az ilyen esetekre kidolgozott incidensreagálási tervet, és elkezdték leállítani a kiszolgálókat. Május 4-én sikerült feltárni a támadók behatolási pontját, aminek lezárásával megszüntették a külső kitettséget, és elkezdődhetett a helyreállítás. Ez öt hetet vett igénybe. Május 9-ére sikerült újra életet lehelni a pénzügyi szolgáltatásokba, míg az utolsó érintett szerver helyreállítása június 13-án fejeződött be. 

Dallas tájékoztatása szerint a kibertámadás által okozott károk és a helyreállítási költségek mára meghaladták a 8,5 millió dollárt, és ez még nem a végleges szám. Emellett fontos megjegyezni, hogy az incidens során több mint harmincezer személy adatai (egyebek mellett nevek, címek, társadalombiztosítási számok, egészségügyi információk) is illetéktelen kezekbe kerülhettek.