Американская корпорация Las Vegas Sands — владелец сети отелей и казино — пострадала от такой же разрушительной атаки, что и Sony Pictures. Злоумышленники внедрились в корпоративную сеть, стёрли жёсткие диски, вывели из строя почтовые серверы и телефонные системы, полностью парализовав работу компании.

Атака началась в январе 2014 года, но компания сообщила о ней только сейчас.

Из отчёта следует, что проникновение в сеть произошло через сервер казино в городке Бетлехем (Пенсильвания) — один из островков огромной империи Las Vegas Sands. Злоумышленники попытались подключиться к VPN-сети компании, используя программу для брутфорса паролей. Следствие установило, что в течение января действовали по крайней мере две хакерские группировки, которые пробовали разные методы проникновения.

1 февраля злоумышленникам удалось найти уязвимость в служебном веб-сервере на Microsoft IIS, который разработчики использовали для предварительного просмотра веб-страниц перед их публикацией в открытом доступе. Там они нашли учётные данные пользователей, в том числе одного из ведущих инженеров компании из Лас-Вегаса, что позволило проникнуть в центральную сеть корпорации.

Для получения паролей нападавшие использовали программу под названием Mimikatz, которая лежит в свободном доступе (с открытым исходным кодом на Github) и позволяет вытворять разные интересные штуки с безопасностью Windows.

  .#####.   mimikatz 2.0 alpha (x86) release "Kiwi en C" (Apr  6 2014 22:02:03)
 .## ^ ##.
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
  '#####'                                    with  13 modules * * */


mimikatz # privilege::debug
Privilege '20' OK

mimikatz # sekurlsa::logonpasswords

Authentication Id : 0 ; 515764 (00000000:0007deb4)
Session           : Interactive from 2
User Name         : Gentil Kiwi
Domain            : vm-w7-ult-x
SID               : S-1-5-21-1982681256-1210654043-1600862990-1000
        msv :
         [00000003] Primary
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult-x
         * LM       : d0e9aee149655a6075e4540af1f22d3b
         * NTLM     : cc36cf7a8514893efccd332446158b1a
         * SHA1     : a299912f3dc7cf0023aef8e4361abfc03e9a8c30
        tspkg :
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult-x
         * Password : waza1234/
... 

Затем атака быстро набирала обороты. После проникновения в центральную систему «нападавшие подготовили malware-бомбу: скомпилированную программу, состоящую из 150 строчек кода на языке программирования Visual Basic», пишет издание BusinessWeek. Программа просто переписывала содержимое жёстких дисков на всех заражённых компьютерах.

Издание Businessweek пишет, что компания Las Vegas Sands тратит огромные деньги на обеспечение безопасности. В штате работают хорошо обученные охранники, набранные из бывших агентов Секретной службы США и Моссада. Однако, в информационной безопасности они полные профаны. Два года назад защитой компьютерной сети занимались всего 5 человек (на 25 000 компьютеров).

В 2013 году руководство выделило значительную сумму на апгрейд защитного программного обеспечения и найм персонала, но было уже поздно.

Опасность для безопасности Las Vegas Sands возросла после того, как в октябре 2013 года основной акционер и владелец компании, миллиардер и израильский медиамагнат Шелдон Адельсон (Sheldon Adelson) призвал к ядерной атаке на Иран.



12 комментария

  1. 15.12.2014 at 14:58

    • 15.12.2014 at 15:08

      Вот-вот! Тоже поржал

    • 15.12.2014 at 15:51

      Но ведь свою функцию она выполнила, да?

    • 16.12.2014 at 20:32

      Очень зря смеетесь, коллега, есть много proof-of-concept атак направленных именно на уязвимости в офисном программном обеспечении, ничто не мешало развить концепцию в этом направлении. Одну из таких уязвимостей демонстрировали на DevCon

  2. 15.12.2014 at 17:33

    Вангую зловред от Молдавии на Turbo Pascal 😀

  3. 15.12.2014 at 19:00

    Ну чего там… Дедуля VB еще жив и покажет себя… Эксгибиционист старый…

  4. 15.12.2014 at 21:22

    Мельчают сисядмины))) барсиком ломануть)))))

  5. 16.12.2014 at 10:28

    Почти на 100% уверен, что «иранские хакеры» даже примерно не разобрались с тем, что и как делает mimikatz…

  6. 16.12.2014 at 18:22

    ухаха… зловред на vb… уж не макросами в ворд они атаковали ли?

    • 17.12.2014 at 13:00

      А кроме макросов васик не умеет работать с апи? Тем более,что там тупо писали в \deviceharddisk?

Оставить мнение