Atak hakerski na firmę. Ziścił się największy koszmar zarządu

"Jeśli o problemach swojej firmy dowiadujesz się z internetu, to bardzo źle. Zwłaszcza jeśli problemy dotyczą wycieku kodu źródłowego jednego z flagowych programów, a ty jesteś odpowiedzialny za bezpieczeństwo IT".

Atak hakerski na firmę. Ziścił się największy koszmar zarządu
Źródło zdjęć: © F-Secure
Bolesław Breczko

22.11.2017 | aktual.: 23.11.2017 13:39

"Sprzedają nam gówno i jeszcze chcą, żeby im za to dziękować" – oho, nie jest dobrze pomyślałem, czytając post na blogu hakerów z grupy "Anonymus" o firmie, w której pracuję.

"Kod źródłowy (zapis programu komputerowego w języku programowania) ich programów zabezpieczających to jakiś żart. Zobaczcie sami, wrzuciłem go >tutaj<" – o cholera, już wiedziałem, że przez najbliższy tydzień nie wyjdę z roboty.

Jeśli dowiadujesz się z sieci, że twoja firma ma problemy, to nie jest dobry znak. A jeśli pracujesz w firmie, która zajmuje się bezpieczeństwem w sieci, to może to być dla niej wyrok.

W poszukiwaniu kreta

Z firmowych serwerów ktoś wykradł kod źródłowy naszego sztandarowego programu (VPN), który sprzedajemy naszemu największemu klientowi niemieckiemu operatorowi komórkowemu. Nikt nie chciał okupu, jak to często bywa w takich przypadkach. Kod został upubliczniony i teraz każdy ma do niego wgląd. Mało tego, za kod wzięli się już różni spece i zaczęli go analizować.

- Rzeczywiście sprzedajemy ludziom gówno – pomyślałem. Kod był niskiej jakości, przestarzały i podatny na masę dobrze znanych ataków. Ale to nie był mój problem. Ja musiałem znaleźć "kreta" i zamknąć dziury, którymi przeniknął do firmy. W cyfrowym świecie nie jest to takie łatwe. Niektóre włamania pozostają nieodkryte przez lata. Zwłaszcza takie, o których dowiadujesz się z internetu, a nie od własnych adminów.

Można to porównać do sytuacji z włamaniem do domu. Jeśli wracasz z pracy, widzisz wyważone drzwi i sterczące ze ściany kable, to wiesz, że ktoś wszedł drzwiami i ukradł ci telewizor. Wystarczy, że zmienisz zamek i będziesz monitorował, czy ktoś nie sprzedaje twojego sprzętu w sieci. Ale jeśli wrócisz z pracy do zamkniętego domu, pójdziesz do kuchni, zrobisz sobie herbatę i siedząc przy kuchennym stole zobaczysz na tablecie, że ktoś sprzedaje w interecie twój telewizor, to masz większy problem.

Nie wiadomo, którędy złodziej wszedł (może dorobił sobie klucze do drzwi, może oknem, a może cały czas jest w domu), nie wiadomo co jeszcze ukradł oprócz telewizora i czy nie zamierza wrócić. W takiej mniej więcej sytuacji znajduje się zespół reagowania na incydenty. Wiemy, że mieliśmy włamanie i że ktoś ukradł nasz kod. Nie wiedzieliśmy, jak i którędy wszedł, gdzie się dostał, i czy jest jeszcze w naszym systemie.

Kim jest użytkownik Frank?

Trzeba od czegoś zacząć. Jakiś czas temu firma prowadziła program stażowy. W ich laboratorium doszło wtedy do włamania, można by pójść tym tropem. Zaczęliśmy przy tym grzebać, ale priorytety szybko się zmieniły. Przyszedł e-mail od chłopaków z działu IT. Znaleźli komputer, z którego prawdopodobnie doszło do ataku.

Podatny komputer: STACJAROBOCZA1.7 – do czego miał dostęp?
Użytkownik: Frank?

Skąd mam niby wiedzieć, kim jest Frank? Wysłaliśmy e-maila do HR-ów, żeby się nim zajęli, ale przy ich tempie pracy, wielkich efektów się nie spodziewamy. Wzięliśmy się za sprawdzanie komputera. Okazało się, że nie miał szerokich uprawnień, ale na wszelki wypadek odłączyliśmy go od sieci. W międzyczasie wysłaliśmy zlecenie do podwykonawcy żeby przysłał nam analizę logów firmowej sieci. Da nam to informację o tym, kto i kiedy miał dostęp do kodu źródłowego i czy nie został on zgrany na pendrive lub wysłany e-mailem. Oby się szybko się z tym uwinęli.

Zarząd przysłał nam zlecenie, aby ściągnąć wiadomość z blogu "Anonymus". Czy oni w ogóle wiedzą, o czym mówią? Po pierwsze nie jesteśmy rządową agencją i nie możemy tak sobie "ściągać". Po drugie wiadomość żyje już na Twitterze i portalach branżowych. Nic to nie da, a jeszcze smrodu narobi. Nawet nie bierzemy tego na poważnie.

Przyjechał prezes, będzie chciał wiedzieć, co się dzieje i w jak głębokim jesteśmy szambie. Idziemy. Jest i zarząd, i chłopaki z IT. Na pierwszy ogień idzie zarząd. Prezes pyta, co do tej pory zrobili.

- Poinformowaliśmy policję i wydaliśmy komunikat prasowy – mówi ktoś z zarządu. Ciekawe co powiedzieli prasie, jeśli nawet my nic nie wiemy.

- Powiadomiliście prasę i służby bez informowania mnie, rady nadzorczej i klienta? – pyta prezes. Nie chciałbym być teraz w skórze tego, który się odezwał. – Eeehe, no tak – facet zrobił się tak malutki, że prawnie zniknął za stołem.

- A to ciekawe... – prezes był spokojny, ale jego głos zabrzmiał złowrogo. – Dobra później się tym zajmę. IT, co wy macie?

- Zlokalizowaliśmy komputer, przez który doszło do włamania i zarządziliśmy dokładne sprawdzenie, jakie jeszcze działania były na nim prowadzone.
- A to nie nasze zadanie? – pomyślałem. Znowu wszyscy zaczynają sobie wchodzić w kompetencje.
- OK. Incydenty, co u was? – prezes skierował wzrok do nas.

- STACJAROBOCZA1.7 nie miała uprawnień administratora. Zamówiliśmy logi z całej sieci, żeby sprawdzić skąd został pobrany kod źródłowy – odpowiedziałem.

- Dobra. Spotykamy się o szesnastej – zarządził prezes. – A wy wszystko puszczajcie przeze mnie – powiedział do zarządu.

Robak w dokumencie

Godzinę później nadal nie mieliśmy logów, a zarząd cisnął nas o szczegóły. Przynajmniej przyszła historia operacji z komputera Franka, ta którą zamówiło IT.

- STACJAROBOCZA1.7 została zainfekowana przez złośliwy kod w makro w dokumencie Word – referuje nam analityk – potem przedostał się do serwera.

Cholera, trzeba go jak najszybciej odłączyć i odpalić back-up – pomyślałem.

- Dostał się też do kontrolera domeny – kontynuował analityk.

No to ładnie. Kontrolera domeny nie możemy tak po prostu odłączyć. Możemy go teraz co najwyżej monitorować.

Analityk poszedł. Mam nadzieję, że pracować nad logami. Wysłaliśmy wiadomość do IT, żeby odłączyli zarażony serwer i puścili zapasowy.

W gąszczu tweetów i niesprawdzonych doniesień prasowych pojawiła się w końcu i ta oficjalna. Ta, którą zarząd puścił bez konsultacji:

"Bezpieczeństwo naszych klientów jest dla nas priorytetem. Pracujemy nad rozwiązaniem problemy i będziemy was aktualizować na bieżąco."

Nic dziwnego, że nas nie pytali o szczegóły. Tak ogólną informację moglibyśmy wysyłać w odpowiedzi na pytanie o dowolny incydent.

Robota insidera

W internecie spece od bezpieczeństwa już zaczęli rozbierać nasz kod na części i go krytykować. Na dodatek Kevin Mitnick (chyba najsłynniejszy haker na świecie) wrzucił na tweeta, że wyciek kodu mógł być robotą insidera. – Ciekawe skąd ma takie informacje? Może go o to zapytam, mam go w znajomych - postanowiłem.

"O co chodzi z tym spamem i kiedy włączycie zapasowe serwery" – przyszedł e-mail od zarządu?
- Czy ktoś wie o jaki spam chodzi? – zapytałem

- Wygląda na to, że nasi pracownicy są zalewani gigantyczną ilością spamu i skarżą się na to w mediach społecznościowych. Nikt im nie mówił ,żeby brudów nie wyciągać na zewnątrz? – odpowiedział mi kumpel. – Oho i jeszcze narzekają, że serwery nie działają. Czy nie wysłaliśmy zlecenia do IT, żeby włączyli zapasowe?

- Właśnie nam napisali, żebyśmy my go włączyli, bo to nasz obowiązek – odpowiedział inny.

No to świetnie. Wiedzieliśmy, skąd przyszedł atak, ale nadal go nie ograniczyliśmy i część serwerów nie działa, praktycznie uniemożliwiając pracę. Od strony PR to jakiś koszmar, a logów jak nie było, tak nie ma. Podobno podwykonawca nie może się za nie zabrać, bo zarząd zamówił u nich analizę ryzyka! Mogli przyjść i zapytać, to byśmy im powiedzieli, że ryzyko jest takie, że im później dostaniemy dane o logowaniach, tym później system stanie na nogi.

I w tym momencie ziścił się największy koszmar zarządu. Pojawiła się informacja od naszego klienta:

"Nic nie wiedzieliśmy o problemach" – to zarząd jeszcze się z nimi nie skontaktował?! "Bezpieczeństwo naszych klientów jest dla nas najważniejsze, więc podjęliśmy decyzję o zerwaniu współpracy z firmą dostarczającą zabezpieczenia. Będziemy informować na bieżąco o kolejnych krokach".

Stażysta-terrorysta

W koncu dopadliśmy typa. Okazało się, że włamywaczem był jeden ze stażystów. Podczas krótkiego okresu w firmie zrobił rozpoznanie sieci, a gdy już przestał pracować, przystąpił do ataku. Wiedział, że gdy już przeniknie przez zabezpieczenia, to będzie miał duże pole do popisu. Większość firm zabezpiecza się na wypadek ataku z zewnątrz. Ale jeśli komuś uda się dostać do środka, to ma wszystko podane jak na tacy. Zabezpieczenia naszej firmy wyglądały tak samo, a my powinniśmy lepiej być przygotowani.

Powyższa historia to opis ćwiczenia przeprowadzanego przez F-Secure dla zarządów i działów zajmujących się bezpieczeństwem IT w firmach. Ćwiczenie odbyło się w siedzibie głównej firmy F-Secure w Helsinkach w dniu 20.11.2017. Scenariusz był inspirowany prawdziwymi wydarzeniami.

Wybrane dla Ciebie
Komentarze (3)