Хакер #305. Многошаговые SQL-инъекции
Стало известно, что в конце июля 2018 года шифровальщик BitPaymer атаковал одно из боро Аляски, Матануска-Суситна. В результате муниципальная ИТ-инфраструктура фактически вышла из строя, а от использования электронной почты и телефонов временно пришлось отказаться в пользу печатных машинок и рукописного ввода.
ИТ-директор боро Эрик Уайетт (Eric Wyatt) подробно рассказывает, что первые признаки атаки были замечены еще в середине июля 2018 года, когда антивирус McAfee после обновления вдруг начал обнаруживать некий троян на машинах, работающих под управлением Windows 7. При этом сообщается, что малварь проникла в сеть боро еще в начале мая текущего года.
Антивирус не справлялся с удалением всех компонентов заражения, поэтому специалисты боро были вынуждены написать скрипт, который подчищал то, что осталось после работы решения McAfee. Его планировали запустить 23 июля, а также сотрудники собирались инициировать принудительную смену паролей для всех пользователей и административных учетных записей.
Уайетт пишет, что именно работа скрипта, похоже, и спровоцировала запуск компонента-шифровальщика. Возможно, таким образом сработал автоматический «предохранитель» в коде злоумышленников, а возможно, операторы атаки все это время внимательно следили за происходящим и отдали малвари соответствующую команду с управляющего сервера.
В итоге шифровальщик поразил 500 рабочих станций (на базе Windows 7 и 10), а также 120 из 150 серверов Матануска-Суситна. Тогда специалисты боро приняли решение не ждать продолжения атаки и ухудшения ситуации, и начали самостоятельно уводить всю сеть и системы в оффлайн (включая телефонию, почтовые серверы, компьютеры сотрудников и так далее), уведомив о происходящем ФБР.
В итоге служащим пришлось очистить и переустановить весь софт на 650 рабочих компьютерах и серверах, по сути, воссоздав всю инфраструктуру боро с нуля. Восстанавливать инфраструктуру помогали 20 различных государственных и частных организаций. В это время служащие были вынуждены «вернуться» на несколько десятков лет назад, достать со складов печатные машинки и калькуляторы, за справочной информацией обращаться к библиотечным книгам, а многие документы писать от руки.
На этой неделе стало известно, что процесс восстановления пока не завершен, но уже как минимум 110 сотрудников вновь могут пользоваться компьютерами, а также в строй вернулась телефонная связь и некоторые внутренние сервисы.
Эрик Уайетт убежден, что боро столкнулось с хорошо организованной и продуманной атакой, и это был «не какой-то пацан, живущий в мамином подвале».
Сообщается, что атака не затронула официальный сайт Матануска-Суситна, а также не пострадали данные пользователей и информация о платежных картах, хранившаяся у сторонних провайдеров. Кроме того, часть данных все же удалось восстановить из бэкапов, хотя некоторые из них датированы прошлым годом, а часть информации (к примеру, электронные письма) все же была утеряна.
В опубликованном на днях отчете (PDF), наконец, был назван вирус, от атаки которого пострадало боро. Им оказался шифровальщик BitPaymer. Кроме того, в отчете сказано, что злоумышленники также заразили сеть боро банкером Emotet и имели доступ к сети через Active Directory. Из-за этого теперь есть основания полагать, что во время атаки все же были скомпрометированы и похищены какие-то данные.
Напомню, что в 2017 году именно малварь BitPaymer атаковала больницы в Шотландии, попав на страницы СМИ всего мира, а в начале 2018 года аналитики ESET выдвинули теорию о том, что BitPaymer, возможно, был создан теми же хакерами, которые стоят за известным ботнетом Necurs и банковским трояном Dridex.
Также стало известно, что помимо Матануска-Суситна от похожих атак пострадали другие города на Аляске (включая город Валдиз) и других штатах США. Официальное сообщение об инциденте действительно было опубликовано властями Валдиза еще в конце июля, однако в нем упоминается лишь некий абстрактный «вирус», речи о BitPaymer или другом шифровальщике там не идет. По словам Уайетта и данным следователей, боро стало жертвой номер 210, то есть где-то молчат о случившемся еще 209 пострадавших.
Судя по официальным сообщениям, выкуп злоумышленникам руководство Матануска-Суситна решило не платить. Уайетт и вовсе пишет, что зашифрованные данные будут храниться годами, если это потребуется, но надеется, что в конечном итоге ФБР и привлеченные к расследованию специалисты сумеют предоставить сотрудникам боро ключи для дешифровки, и информация будет восстановлена.