Η Πολιτεία της Νεβάδα δημοσίευσε μια έκθεση μετέπειτα δράσης που περιγράφει λεπτομερώς τον τρόπο με τον οποίο οι χάκερ παραβίασαν τα συστήματά της για να αναπτύξουν ransomware τον Αύγουστο και τις ενέργειες που έγιναν για την ανάκαμψη από την επίθεση.
Το έγγραφο είναι μία από τις ελάχιστες απολύτως διαφανείς τεχνικές αναφορές μιας ομοσπονδιακής κυβέρνησης των ΗΠΑ για ένα περιστατικό κυβερνοασφάλειας, που περιγράφει όλα τα βήματα του εισβολέα και δίνει ένα παράδειγμα για το πώς θα πρέπει να αντιμετωπίζονται τα περιστατικά ασφάλειας στον κυβερνοχώρο.
Το περιστατικό επηρέασε περισσότερες από 60 κρατικές κρατικές υπηρεσίες και διέκοψε τις βασικές υπηρεσίες, από ιστότοπους και τηλεφωνικά συστήματα μέχρι διαδικτυακές πλατφόρμες. 28 ημέρες αργότερα, χωρίς να πληρώσει λύτρα, το κράτος ανέκτησε το 90% των επηρεαζόμενων δεδομένων που απαιτούνταν για την αποκατάσταση των επηρεαζόμενων υπηρεσιών.
Σε μια σημερινή έκθεση, η Πολιτεία της Νεβάδα αναφέρει με πλήρη διαφάνεια πώς συνέβη ο αρχικός συμβιβασμός, τη δραστηριότητα του παράγοντα απειλής στο δίκτυό της και τα βήματα που έγιναν μετά τον εντοπισμό της κακόβουλης δραστηριότητας.
Η επίθεση ransomware εκτυλίσσεται
Αν και η παραβίαση ανακαλύφθηκε στις 24 Αυγούστου, ο χάκερ είχε αποκτήσει αρχική πρόσβαση στις 14 Μαΐου, όταν ένας κρατικός υπάλληλος χρησιμοποίησε μια τρωανοποιημένη έκδοση ενός εργαλείου διαχείρισης συστήματος.
Σύμφωνα με το έκθεσηένας κρατικός υπάλληλος έψαξε στην Google για ένα εργαλείο διαχείρισης συστήματος για λήψη και αντ’ αυτού εμφανίστηκε μια κακόβουλη διαφήμιση που οδήγησε σε έναν δόλιο ιστότοπο που υποδύθηκε το νόμιμο έργο.
Αυτός ο ψεύτικος ιστότοπος πρόσφερε μια έκδοση του βοηθητικού προγράμματος διαχείρισης με κακόβουλο λογισμικό, το οποίο ανέπτυξε μια κερκόπορτα στη συσκευή του υπαλλήλου.
Οι φορείς απειλών έχουν αρχίσει ολοένα και περισσότερο να χρησιμοποιούν διαφημίσεις αναζήτησης για να προωθήσουν κακόβουλο λογισμικό μεταμφιεσμένο σε δημοφιλή εργαλεία διαχείρισης συστήματος, όπως WinSCP, Putty, RVTools, KeePass, LogMeIn και AnyDesk. Ωστόσο, εγκαθίσταται κακόβουλο λογισμικό αντί για το επιθυμητό πρόγραμμα, δίνοντας στους φορείς απειλής αρχική πρόσβαση στα εταιρικά δίκτυα.
Καθώς αυτά τα εργαλεία έχουν σχεδιαστεί για διαχειριστές συστημάτων, οι φορείς απειλών ελπίζουν να αποκτήσουν αυξημένη πρόσβαση στο δίκτυο στοχεύοντας αυτούς τους υπαλλήλους πληροφορικής.
Μόλις εκτελεστεί, το κακόβουλο λογισμικό διαμόρφωσε μια κρυφή κερκόπορτα που συνδέθηκε αυτόματα με την υποδομή του εισβολέα κατά την είσοδο του χρήστη, παρέχοντάς τους μόνιμη απομακρυσμένη πρόσβαση στο εσωτερικό δίκτυο της πολιτείας.
Στις 26 Ιουνίου, η Symantec Endpoint Protection (SEP) εντόπισε και έθεσε σε καραντίνα το κακόβουλο εργαλείο και στη συνέχεια το διέγραψε από τον μολυσμένο σταθμό εργασίας, αλλά ο μηχανισμός επιμονής αντιστάθηκε και οι χάκερ μπορούσαν ακόμα να φτάσουν στο περιβάλλον.
Στις 5 Αυγούστου, ο εισβολέας εγκατέστησε ένα εμπορικό λογισμικό απομακρυσμένης παρακολούθησης σε ένα σύστημα, το οποίο τους επέτρεψε να πραγματοποιούν εγγραφή οθόνης και καταγραφή πληκτρολόγησης. Μια δεύτερη μόλυνση με αυτό το εργαλείο συνέβη δέκα ημέρες αργότερα.
Μεταξύ 14 και 16 Αυγούστου, ο εισβολέας ανέπτυξε ένα προσαρμοσμένο, κρυπτογραφημένο εργαλείο σήραγγας δικτύου για να παρακάμψει τους ελέγχους ασφαλείας και καθιέρωσε συνεδρίες πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) σε πολλά συστήματα.
Αυτός ο τύπος απομακρυσμένης πρόσβασης τους επέτρεπε να μετακινούνται πλευρικά μεταξύ σημαντικών διακομιστών, συμπεριλαμβανομένου του διακομιστή αποθήκευσης κωδικών πρόσβασης, από όπου ανακτούσαν τα διαπιστευτήρια 26 λογαριασμών και, στη συνέχεια, διέγραψαν αρχεία καταγραφής συμβάντων για να κρύψουν τις ενέργειές τους.
Η ομάδα αντιμετώπισης περιστατικών της Mandiant επιβεβαίωσε ότι ο εισβολέας είχε πρόσβαση σε 26.408 αρχεία σε πολλά συστήματα και ετοίμασε ένα αρχείο .ZIP έξι τμημάτων με ευαίσθητες πληροφορίες.
Η έρευνα δεν βρήκε στοιχεία που να αποδεικνύουν ότι ο δράστης διέτρεξε ή δημοσίευσε τα δεδομένα.
Στις 24 Αυγούστου, ο εισβολέας πραγματοποίησε έλεγχο ταυτότητας στον εφεδρικό διακομιστή και διέγραψε όλους τους τόμους αντιγράφων ασφαλείας για να απενεργοποιήσει το δυναμικό ανάκτησης και, στη συνέχεια, συνδεόταν στον διακομιστή διαχείρισης εικονικοποίησης ως root για να τροποποιήσει τις ρυθμίσεις ασφαλείας για να επιτρέψει την εκτέλεση ανυπόγραφου κώδικα.
Στις 08:30:18 UTC, ο εισβολέας ανέπτυξε ένα στέλεχος ransomware σε όλους τους διακομιστές που φιλοξενούσαν τις εικονικές μηχανές (VM) της πολιτείας.
Το Γραφείο Τεχνολογίας του Κυβερνήτη (GTO) εντόπισε τη διακοπή περίπου 20 λεπτά αργότερα (01:50 π.μ.), σηματοδοτώντας την έναρξη της προσπάθειας ανάκαμψης 28 ημερών σε όλη την πολιτεία.
Πληρώνοντας υπερωρίες, όχι λύτρα
Η Πολιτεία της Νεβάδα διατήρησε σταθερή στάση κατά της πληρωμής λύτρων και βασίστηκε στο δικό της προσωπικό πληροφορικής και τις πληρωμές υπερωριών για την αποκατάσταση του επηρεασμένου συστήματος και υπηρεσιών.
Η ανάλυση κόστους δείχνει ότι οι 50 κρατικοί υπάλληλοι εργάστηκαν συνολικά 4.212 υπερωρίες, επιβαρύνοντας το μισθολογικό κόστος 259.000 $ για το κράτος.
Αυτή η απόκριση επέτρεψε την έγκαιρη επεξεργασία μισθοδοσίας, διατήρησε τις επικοινωνίες δημόσιας ασφάλειας στο διαδίκτυο και γρήγορη αποκατάσταση συστημάτων που αντιμετωπίζουν τους πολίτες και εξοικονόμησε το κράτος περίπου 478.000 $ σε σύγκριση με τις τυπικές (175 $/ώρα) αναδόχους.
Το κόστος για την υποστήριξη εξωτερικού προμηθευτή κατά τη διάρκεια της περιόδου απόκρισης σε περιστατικά ανήλθε σε λίγο πάνω από 1,3 εκατομμύρια δολάρια και αναλύεται στον παρακάτω πίνακα.
| Πωλητής | Παρεχόμενη υπηρεσία | Υποχρεωτικό Κόστος |
|---|---|---|
| Microsoft DART | Ενιαία Υποστήριξη & Ανακατασκευή Υποδομής | $354.481 |
| Mandiant | Ιατροδικαστική & Αντιμετώπιση Συμβάντων | 248.750 $ |
| Aeris | Ανάκτηση & Τεχνική Υποστήριξη | 240.000 $ |
| BakerHostetler | Νομικός Σύμβουλος και Προστασία Προσωπικών Δεδομένων | $95.000 |
| SHI (Πάλο Άλτο) | Υπηρεσίες Ασφάλειας Δικτύων | 69.400 $ |
| Λαγκάδα | Ανάκτηση Δεδομένων & Διαχείριση Έργων | 66.500 $ |
| Άλλοι προμηθευτές υπερύθρων | Διάφορες Υπηρεσίες Υποστήριξης | ~ 240.069 $ |
Θα πρέπει να σημειωθεί ότι ο ηθοποιός του ransomware δεν έχει κατονομαστεί. Το BleepingComputer δεν είδε μεγάλες συμμορίες να ισχυρίζονται την εισβολή σε χώρους εκβιασμών.
Το περιστατικό καταδεικνύει την ανθεκτικότητα της Νεβάδα στον κυβερνοχώρο, η οποία περιλαμβάνει αποφασιστική και ταχεία δράση «παιχνιδιού» και επίσης ανέδειξε ένα επίπεδο διαφάνειας που είναι αξιέπαινο.
Παρά το κόστος και την προσπάθεια ανάκτησης, η Πολιτεία της Νεβάδα έχει επίσης βελτιώσει την άμυνα της στον κυβερνοχώρο με τη συμβουλή αξιόπιστων προμηθευτών.
«Ο GTO επικεντρώθηκε στην εξασφάλιση των πιο ευαίσθητων συστημάτων πρώτα, διασφαλίζοντας ότι η πρόσβαση περιοριζόταν στο βασικό προσωπικό», σημειώνει η έκθεση.
Ορισμένες από τις τεχνικές και στρατηγικές ενέργειες περιελάμβαναν την κατάργηση παλιών ή περιττών λογαριασμών, την επαναφορά κωδικών πρόσβασης και την κατάργηση παλαιών πιστοποιητικών ασφαλείας. Επιπλέον, οι κανόνες και τα δικαιώματα συστήματος εξετάστηκαν για να διασφαλιστεί ότι μόνο εξουσιοδοτημένοι χρήστες έχουν πρόσβαση σε ευαίσθητες ρυθμίσεις.
Ωστόσο, το κράτος παραδέχεται ότι υπάρχουν πολλά περιθώρια βελτίωσης και αντιλαμβάνεται τη σημασία της επένδυσης στην ασφάλεια στον κυβερνοχώρο, για τη βελτίωση των ικανοτήτων παρακολούθησης και αντίδρασης, ιδίως, καθώς οι φορείς απειλών εξελίσσουν επίσης τις τακτικές, τις τεχνικές και τις διαδικασίες τους.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
