Продовжуємо веб-серфінг у пошуках крутих ІБ-історій. І ось сьогодні – повчальна розповідь про те, як Амелі Коран (Амелі Коран на своєму сайті) практично голими руками зловила хакера, атакуючого сервера Світового банку, а також інсайдера, який намагався зіграти на цій історії. Знешкодивши їх, вона вийшла на набагато більшу і небезпечнішу «дичину». Історією цією з громадськістю поділився англомовний подкастДаркнет-щоденники. Наводимо переказ епізоду.
В розповіді йдеться про 2008 рік - за мірками цифровізації повік не кам'яний, але ще «паперовий». Щоб ви розуміли, як давно це було: на той час у Світовому банку ще використовували кишенькові комп'ютери PalmPilots, у тому числі – для надсилання електронної пошти. Тому деякі методи та програми, які згадуються у розповіді про розслідування, можуть здатися застарілими.
Пара слів про Світовий банк, де, як з'ясовується, теж бувають інциденти
Що ж це за така організація – Світовий банк. Ведучий Darknetdiares спеціально роз'яснив своїм слухачам, які добре розуміються на шкідливому коді, але не в історії формування світової фінансової системи.
Рішення про створення Світового банку, а також Міжнародного валютного фонду, було прийнято на Бреттон-Вудській конференції, що відбулася в США 1944 року. Банк розпочав активну діяльність 1945-го і ставив за мету кредитування країн, яким була потрібна допомога у відновленні економіки, постраждалої від Другої світової війни. Таким чином, практично весь повоєнний світ, що відновився, виявився згодом винен Світовому банку. Пізніше кредитна організація додала до своїх клієнтів-боржників неохоплені країни, що спочатку розвиваються..
Як такі, як Амелі, стають «містером Вульфом», який вирішує всі проблеми
Перш ніж розповісти про суть інциденту, кілька слів про людину, який з ним впорався. Амелі Коран закінчила коледж 1993-го, вивчала програмування та соціологію. Попрацювала в Xerox дизайнером інтерфейсів користувача, системним адміністратором, відповідала за безпеку серверної інфраструктури Американської хімічної спільноти. По-справжньому масштабні завдання чекали на Амелі в компанії, відповідала за постачання газу та електрики до ряду штатів США. Не встигла вона влаштуватися туди, в службу DFIR (Цифрова криміналістика та реагування на інциденти), як налетів ураган і вивів з ладу частину інфраструктури. Довелося на ходу та «на вітрі» міняти підходи до проектування катастрофостійких ЦОД, а заразом вчитися працювати в авральному режимі. Отриманий досвід Амелі розвинула у компанії Mandiant, спеціалізується на кібербезпеці і пізніше в FireEye – одному зі світових лідерів боротьби з погрозами нульового дня.
Таким чином, прийнявши запрошення попрацювати у Світовому банку, Амелі уявляла собі, як саме ведеться робота щодо забезпечення інформаційної безпеки у великих організаціях. Після роботи з комунальниками вона винесла два уроки. Перший: абсолютно безпечне середовище створювати безглуздо, тому потрібно подбати, щоб ваша інфраструктура була більш захищеною, чим у сусідів. Другий: аварії рано чи пізно трапляються, отже, не можна витерти, впадати в ступор. Потрібно продовжувати працювати в умовах катаклізмів.
На новому місці, у Світовому банку, ці навички нагоді майже відразу.
Інцидент
Система моніторингу цілісності файлів Світового банку зафіксувала зміни на одному із серверів, HSM (Апаратний модуль безпеки), по суті, секретному «шафці» з усім банківським криптографічним матеріалом. Служба безпеки з'ясувала, що до подій не причетні системні адміністратори, підозрювали когось із сторонніх.
Амелі Коран до проекту залучили як підрядника, вона очолила розслідування. Щоправда сталося це за два тижні після злому сервера, коли було складно розібрати, що в мережі наробив зловмисник, а що – наслідки дій розслідувачів.
Кинута на амбразуру, Амелі буквально захлиналася в потоках інформації. Вона лилася з усіх боків: від інженерів, мережевих адміністраторів та інших співробітників. І це, за словами Амелі, було як спроба втримати пісок, що втікає крізь пальці. Не було можливості відстежити реальні дії зловмисника і навіть просто зрозуміти – зараз він все ще в мережі, чи ні.
Перше, що зробили, - Створили повну копію зараженої машини з усім вмістом, тому що зловмисник може будь-якої миті стерти свої сліди або видалити якісь дані.
Але після вивчення журналів логів та повідомлень різних IT-систем з'ясувалося, що злочинець отримав доступ і змінив конфігурації не на одному, а на тридцяти серверах у банку! Усі скомпрометовані пристрої почали розбирати (у програмному сенсі, а не в буквальному) на гвинтики, як у випадку з спочатку виявленим зламаним сервером, зробили та їх копії.
Амелі розповідає, що через велику кількість інформації, що впала, відчула себе як людина, який намагається напитися з пожежного шлангу. Вона зашивалася - попередній аналіз навіть однієї машини займав годинник, а постраждали десятки серверів.
Процес йшов повільно, а паніка наростала як снігова грудка. Екстрені наради проводилися одна за одною, керівництво, за словами ІБ-експерта, просто сходило с ума, рядові співробітники теж були напружені до крайності.
Амелі Коран згадує, як під час чергового шаленого конф-колу, де брали участь CIO, CISO та інші «шишки», їй, скромному найманому підряднику, навіть довелося прикрикнути на них: «Заспокойтеся все, чорт вас забирай!» В оригіналі фраза звучала грубіше. Жаль за цей емоційний сплеск вона не відчуває. Навпаки. Одне з основних завдань спеціаліста зі складних інцидентів, вважає вона, внести хоч якусь подобу порядку до ситуації, коли у людей від стресу вже йде пара з вух. Ні високий IQ, ні глибокі знання в кіберрозслідуваннях не замінять холодної голови.
Вчора у кабінеті, а завтра – у газеті!
Пересічним співробітникам банку не були відомі подробиці інциденту, зате про них якось дізналася преса. Видання Wall Street Journal, а потім і Fox News повідомили, зокрема, що Світовий банк переживає «безпрецедентну кризу», пославшись на лист технічного директора. що, що ситуація стала публічною, додало нервозності. Але головне, зловмисник, якщо ще не був у курсі, дізнався, що його виявили.
Злити інформацію міг лише інсайдер. Технічні подробиці про терміни атаки, уражених серверах, які також просочилися у пресу, знав дуже обмежене коло людей. тих, хто брав участь у «військових радах».
Амелі почала складати список можливих «кротів», насамперед почала придивлятися до айтішників і топів. Вона вивчала цитати зі статей і терпляче шукала щось схоже у листуванні головних підозрюваних (експерт не розповідає подробиці, але судячи з усього в 2008 році такий аналіз вона проводила вручну, ніяких DLP-систем як допомоги у неї не було). Поступово та самі учасники групи розслідування, і топ-менеджери почали "косо дивитися" один на одного -як в грі Among us. «Військрада» перетворювалася на битву поглядів, коли кожен намагався розглянути внутрішнього ворога в одному з колег.
Поки що непрофесіонали підозрювали кожного зустрічного, Амелі звузила своє коло можливих інсайдерів до п'яти-шести чоловік.. Вона схилялася до думки, що інсайдер не присутній на закритих нарадах, але, можливо, залучається до якоїсь більш-менш відкритої частини. Щоб перевірити версію, Амелі влаштувала провокацію: підкинула до кімнати нарад документи з неправдивою інформацією, прикріпила дещо до інформаційного стенду.
Встановивши стеження за коридорами та кабінетами, переглядаючи, хто саме сидить за комп'ютером (це доводилося робити саме так, буквально підглядаючи за персоналом), співробітники служби розслідування виявили можливого інсайдера. Його зв'язок зі ЗМІ був повністю підтверджений за кілька днів, коли вийшла стаття із вкинутою фейковою інформацією.
Велика риба
З жорсткого диска ПК інсайдера було зроблено відбиток. Використовуючи для цього EnCase (інструмент для форензики) та деякі інші інструменти, експерт виявила, що листи у ЗМІ співробітник надсилав через веб-пошту Yahoo, а не через корпоративну Lotus Notes.
Паралельно з'ясувалося, що інсайдер був пов'язаний із колишнім керівником Світового банку Полом Вольфовіцем (Пол Вулфовіц). Про цю людину варто розповісти трохи докладніше. Кандидатуру Пола як керівника Світового банку запропонував не хтось, а особисто президент США Джордж Буш-молодший. Це викликало подив у фінансових журналістів., оскільки колишньою посадою Пола була заступник Міністра оборони. Щоправда, звільнено Пол був не через фінансовий чи військовий скандал, а тому що влаштував у банк свою знайому.
Пол Вольфовіц образи не забув і скориставшись моментом вирішив дискредитувати нове керівництво, направивши в ЗМІ компрометуючу інформацію. Для її збору він вирішив завербувати спеціаліста відділу внутрішніх розслідувань. Він був геєм, але не афішував цей факт. Десять років тому це можна було використовувати як важіль тиску. Завербований співробітник у свою чергу змусив працювати на себе айтішника, який і допоміг зібрати потрібні відомості. І саме він, як уже знаємо, повівся на приманку Амелі.
Таким чином одну з проблем – злив інформації у ЗМІ – було вирішено. Амелі, розплутавши один клубок, змогла вперше за багато днів переночувати вдома, а не на ковдрі під столом, де працювала останнім часом. Ночувати під столом, за її словами, задоволення то ще.
Як і навіщо злочинці «увійшли» до банку?
Хакер, який копався на серверах, все ще не було виявлено. Зате зрозуміли, як саме він проник у інформаційну систему. Вийшло це не відразу. Хакер зумів проникнути на один комп'ютер, запустив шкідливий код, але той був заблокований антивірусом. Злочинець спробував іншу вразливість – вийшло, антивірус не відреагував. Зловмисник розвинув атаку та отримав доступ до хеш паролів. З їхньою допомогою зламав облік системного адміністратора.
Амелі вирішила перевірити, наскільки слабкий пароль у сісадміну та скільки часу займе злом. З'ясувалося, що дізнатися пароль такого відповідального співробітника банку виходить всього за кілька хвилин, про що Амелі і розповіла керівництву. Вона також здогадувалася, що це системна проблема, попросила адміністратора оновити пароль та записати його на папері. Після цього запустила програму для аудиту паролів та зламала новий за кілька хвилин. Як і колишні паролі, він був нескладним: це було ім'я дочки менеджера з роком її народження.
У банку переглянули парольну політику, доопрацювали політики розмежування доступів, а через кілька місяців запросили фахівців із Microsoft, щоб ті провели незалежний аудит ситуації з AD та паролями у всьому банку.
Кому ж знадобився злом Світового банку?
У цій частині оповідання найменше подробиць, але які дані розслідування змогла розкрити Амелі Коран. З'ясувалося, що хакери активно шукали доступу до баз даних, якими користувалися керівники HR-підрозділу. Я говорю інакше, зловмисників цікавили імена конкретних працівників банку. Фахівці компанії Mandiant, підключені до вивчення шкідливого коду, застосували для аналізу свій новий інструмент Mirror. За сукупністю зібраної інформації керівництво Світового банку змогло зробити висновок, що атакуючі, швидше за все, – китайські хакери.
На завершення розповіді про розслідування Амелі поділилася враженням про відчуття від роботи на такому великому проекті: «Поки що ти б'єшся над технічними проблемами, у тебе і адреналін, та ендорфіни, та почуття власної значущості. Але коли відкривається політичне чи економічне підґрунтя, то виявляєш, що є частиною іншої, ще більш складної гри».
Джерело