Американская корпорация Las Vegas Sands — владелец сети отелей и казино — пострадала от такой же разрушительной атаки, что и Sony Pictures. Злоумышленники внедрились в корпоративную сеть, стёрли жёсткие диски, вывели из строя почтовые серверы и телефонные системы, полностью парализовав работу компании.
Атака началась в январе 2014 года, но компания сообщила о ней только сейчас.
Из отчёта следует, что проникновение в сеть произошло через сервер казино в городке Бетлехем (Пенсильвания) — один из островков огромной империи Las Vegas Sands. Злоумышленники попытались подключиться к VPN-сети компании, используя программу для брутфорса паролей. Следствие установило, что в течение января действовали по крайней мере две хакерские группировки, которые пробовали разные методы проникновения.
1 февраля злоумышленникам удалось найти уязвимость в служебном веб-сервере на Microsoft IIS, который разработчики использовали для предварительного просмотра веб-страниц перед их публикацией в открытом доступе. Там они нашли учётные данные пользователей, в том числе одного из ведущих инженеров компании из Лас-Вегаса, что позволило проникнуть в центральную сеть корпорации.
Для получения паролей нападавшие использовали программу под названием Mimikatz, которая лежит в свободном доступе (с открытым исходным кодом на Github) и позволяет вытворять разные интересные штуки с безопасностью Windows.
.#####. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Apr 6 2014 22:02:03)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
'## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo)
'#####' with 13 modules * * */
mimikatz # privilege::debug
Privilege '20' OK
mimikatz # sekurlsa::logonpasswords
Authentication Id : 0 ; 515764 (00000000:0007deb4)
Session : Interactive from 2
User Name : Gentil Kiwi
Domain : vm-w7-ult-x
SID : S-1-5-21-1982681256-1210654043-1600862990-1000
msv :
[00000003] Primary
* Username : Gentil Kiwi
* Domain : vm-w7-ult-x
* LM : d0e9aee149655a6075e4540af1f22d3b
* NTLM : cc36cf7a8514893efccd332446158b1a
* SHA1 : a299912f3dc7cf0023aef8e4361abfc03e9a8c30
tspkg :
* Username : Gentil Kiwi
* Domain : vm-w7-ult-x
* Password : waza1234/
...
Затем атака быстро набирала обороты. После проникновения в центральную систему «нападавшие подготовили malware-бомбу: скомпилированную программу, состоящую из 150 строчек кода на языке программирования Visual Basic», пишет издание BusinessWeek. Программа просто переписывала содержимое жёстких дисков на всех заражённых компьютерах.
Издание Businessweek пишет, что компания Las Vegas Sands тратит огромные деньги на обеспечение безопасности. В штате работают хорошо обученные охранники, набранные из бывших агентов Секретной службы США и Моссада. Однако, в информационной безопасности они полные профаны. Два года назад защитой компьютерной сети занимались всего 5 человек (на 25 000 компьютеров).
В 2013 году руководство выделило значительную сумму на апгрейд защитного программного обеспечения и найм персонала, но было уже поздно.
Опасность для безопасности Las Vegas Sands возросла после того, как в октябре 2013 года основной акционер и владелец компании, миллиардер и израильский медиамагнат Шелдон Адельсон (Sheldon Adelson) призвал к ядерной атаке на Иран.