Őszinte állami beszámoló egy zsarolóvírusos incidensről

Nevada állam nagyon átlátható és őszinte módon számolt be a nyári biztonsági incidenséről. Így aztán mindenki sokat tanulhat az esetből.
 

Nevada államban nyáron egy súlyos kiberbiztonsági incidens történt, aminek követeztében számos kormányzati rendszer vált használhatatlanná. Az eset több mint 60 állami ügynökség működését érintette hátrányosan. Állami informatikai szolgáltatások álltak le, elérhetetlenné váltak kormányzati weboldalak, megbénultak a telefonos ügyfélszolgálatok stb.
 
Az incidensről az illetékes állami szerv utólag nagyon átlátható módon számolt be, ezért az esetből számos tanulság vált levonhatóvá.
 
Mi is történt?
 
A biztonsági incidens detektálása augusztus 24-én történt meg, azonban a vizsgálatok feltárták, hogy a problémák már május 14-én kezdődtek. Akkor ugyanis az egyik kormányzati alkalmazott (vélhetőleg egy informatikus) letöltött egy rendszeradminisztrációs segédprogramot. Ezt úgy tette meg, hogy a szoftver nevére rákeresett a Google-ben, majd az ott megjelent reklámra kattintott, aminek következtében nem az alkalmazás hivatalos weboldaláról került fel a PC-jére a program, hanem egy kártékony weblapról. A letöltött fájl egy trójait tartalmazott, amely hátsó kaput nyitott.
 
A támadók dolgát jelentősen megkönnyítette, hogy mivel egy kiemelt jogosultságokkal rendelkező informatikus számítógépéről volt szó, ezért arról könnyebben tudtak "mozogni" a hálózatban. Június 26-ig észrevétlenül tudták ezt tenni. Egészen addig ugyanis a vírusvédelem nem jelzett. Először június 26-án riasztott a Symantec Endpoint Protection (SEP) a fertőzés miatt, és egyben el is távolította a trójai fájljait. Ekkora azonban már a támadók "több lábon álltak", így a vírusirtás érdemben már nem segített.
 
Az elkövetők augusztus 5-én távolról feltelepítettek egy kereskedelmi forgalomban is kapható, monitorozó megoldást, és képernyőképeket mentettek le, illetve naplózták a billentyűleütéseket. Augusztus 14-16. között további összetevőket telepítettek, amik révén titkosított kommunikációs csatornát hoztak létre, valamint számos szerverhez biztosították az elérésüket RDP (távoli asztali) kapcsolaton keresztül. Időközben pedig hozzáférést szereztek az adott szervezet jelszótárolásra szolgáló szerveréhez, ahonnan 26 felhasználói fiókhoz tartozó hozzáférési adatot kaparintottak meg. Emellett root jogot szereztek az egyik virtualizációs (menedzsment) kiszolgálóhoz.
 
Augusztus 24-ére minden rendelkezésükre állt a kiberbűnözőknek, hogy átfogó támadást indítsanak, amit egy fájltitkosításra alkalmas programmal kezdtek meg. Méghozzá olyan módon, hogy a virtualizációs szerverről kezelt összes virtuális gépre root jogosultsággal feltelepítették a ransomware programjukat. Emellett a biztonsági mentésekre szolgáló szerverről elkezdték törölni a mentéseket a helyreállítás megnehezítése érdekében. Közben pedig rendszeresen törölték a naplóállományokat, abból a célból, hogy a nyomaikat eltüntessék.
 
Az incidens kivizsgálásában résztvevő Mandiant szakértői szerint az elkövetők több mint 16 ezer fájlhoz fértek hozzá, amiket hat részletben ZIP-fájlba csomagoltak. Arra azonban már nincsenek bizonyítékok, hogy a támadók ezeket az állományokat ki is tudták juttatni az érintett rendszerből.
 
A nevadai eset legfontosabb tanulsága, hogy egyetlen óvatlan fájlletöltés is óriási károkat idézhet elő. Az incidens következtében 50 informatikusnak több mint 4200 órányi túlmunkával sikerült az adatokat és a rendszereket helyreállítani 28 nap alatt 90 százalékos mértékben. Emellett számos külső szakértő és gyártó bevonására is sor került, ami összességében 1,3 millió dollárt emésztett fel.
 
Az érintett állami szervek mindvégig megtagadták a zsarolók követeléseinek teljesítését, így váltságdíj kifizetésére nem került sor.