Hekerski napad na HSE

Kako to da na slo-techu ni še novice in niti teme odprte glede tega?
https://n1info.si/novice/slovenija/heke...

Prikrivajo obsežnost napada in škode?
Ali je res, da so danes skoraj vsi zaposleni ostali doma zaradi tega napada?

Naš oddelek pokriva backup.

Za restore se pa obrnite na drug oddelek ;)

Invictus je 27. nov 2023 ob 10:51 izjavil:

bciciban je 27. nov 2023 ob 10:48 izjavil:

Naš oddelek pokriva backup.

Za restore se pa obrnite na drug oddelek ;)

Dobra .

Ni daleč od resnice. Tudi nekaj tujih podjetij ima tako. Ena ekipa pokriva backup, druga pa restore in ostale zadeve..

Je pa fun, da je ena ekipa v Londonu druga pa v Indiji. Sedaj pa se pejt ko imajo eno ravno takrat nacionalni praznik :)

Glede na to, da je direktor HSE-ja bil izbran na podlagi strokovnosti, bil je namreč poročna priča dr.Robija, me takšne afnarije na HSE-ju niti ne čudijo.
Prvi Štokelj je bil dabei, ko so privatizirali Meblo, drugi je pa dabei pri HSE-ju..

Pred nekaj leti sem sodeloval z eno od firm v skupini HSE. Fantje IT oddelka HSE-ja so takrat zgledno opravljali svoje delo, nobenih padalcev ni bilo. Nobenih oddaljenih dostopov ala teamviewer, nobenega talanja admin gesel ipd. Ko smo ga rabili je prišel dežurni IT-jevec, opravil intervju, malo smo mu še risali, zabeležil je dogovorjene zahtevke in jih nato vnesel. Vsako stvar so jemali smrtno resno, kar je glede na razvejanost njihovega sistema itak edini način.
To kar se je zgodilo, je lahko posledica spremembe usmeritev v IT oddelku ali širše. Predstavljam si, da je nek novozaposleni z visokim dostopom in prenosnikom, ki je prek VPN-ja povezan v HSE mrežo delal štalo.

Kaj pa ima direktor s tem, da nekdo od zaposlenih pride v firmo z usb ključkom, ga vtakne nekam in požene?
Ali pa namensko požene datoteko z mail-a?

Ker v velikih firmah je večina vdorov točno takih. Zelo težko spraviš okuženo zadevo mimo vseh mogočih skenerjev.

Vse je super in vsi so strokovnjaki dokler ne poči...
Sem prepričan, da je na HSE vsaj 5 ljudi, ki bi znalo predavat 2 tedna o varnosti v IT-ju.

Za zacetek bi bilo treba sploh definirati kaj je napad. To, da nek bedak vtakne okuzen usb v racunalnik, ali odpre en random mail z okuzenim attachmentom zraven ni napad, se manj targetiran napad. In ce je karkoli tega kar so zadnje dni govorili po medijih res, to ni napad na HSE, pac pa neumnost zaposlenega oz. zaposlenih. Napad je nekaj povsem drugega kot to.

To je lahko karkoli.
Od tega da so dobili kak dostop do bitwarden-a, ker je kdo reusal gesla in bil po možnosti brez mfa.
Pa do tega da so imeli passwords.txt shranjen v nekem onedrive/gdrive/dropbox računu

feryz je 27. nov 2023 ob 14:43 izjavil:

Kaj pa ima direktor s tem, da nekdo od zaposlenih pride v firmo z usb ključkom, ga vtakne nekam in požene?
Ali pa namensko požene datoteko z mail-a?

USBji na računalnikih bi morali biti onemogočeni.
Nimaš tam kaj prenašat na/iz ključka. Slike z dopusta na telefonu kažeš.
Priponke v mailih bi pa že strežnik moral odstranit. Razen mogoče PDFjev.

raceboy je 27. nov 2023 ob 18:58 izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Še vedno pa moraš ugotoviti, kje in kako so prišli notri, sicer se lahko naslednji dan zgodba ponovi.

Koliko od vas je iz prve roke videlo kako taksne zadeve potekajo ?
Jaz sem bil odgovoren za arhiviranje pri več kot 100+ podjetjih in tako s prve vrste vem kako taksne zadeve potekajo.
Oziroma so potekale.

Nekako pridejo do nekega računalnika v sistemu (vpn, email att, rdp, zastarel ruter software)
Ko so tam začnejo pregledovati omrežje in poizkušajo vdreti v strežnike. Ko so vdrli v to spremljajo celotno
delovanje kak teden in nato naenkrat udarijo. Tako da v par urah poizkušajo sesuti in zakodirati vse backupe in datoteke.

Največ kaj so pri "moji stranki" naredili je da so uničili eno tračno kaseto in tračno enoto. cca 1k € skode.
so se pa zelo trudili z uničevanjem backupov a v mojih primerih žal neuspešno.

jaz se "zanasam" na synology backupe. imam sklopljene vse servise (smb, nfs, rsync, itd...). kopiram izkljucno kontra (iz synologyja) mam dosti verzij backupov. za dostop do nas-a imam samo en account z cudnim userjem in hudim geslom. nas ni odprt v svet.

nokken je 27. nov 2023 ob 19:47 izjavil:

raceboy je 27. nov 2023 ob 19:33 izjavil:

jaz se "zanasam" na synology backupe. imam sklopljene vse servise (smb, nfs, rsync, itd...). kopiram izkljucno kontra (iz synologyja) mam dosti verzij backupov. za dostop do nas-a imam samo en account z cudnim userjem in hudim geslom. nas ni odprt v svet.

Je dosegljiv iz tvojega racunalnika? Po napisanem sodec je, torej je dosegljiv tudi iz sveta ;) No taksno razmisljanje kot ga imas ti, pripelje do taksnih stvari, s katerimi se sedaj ukvarjajo na HSE ;)

dosegljiv je samo lokalno v mrezi. zdaj pa povej kako bi 16mestni hash razbil ? sam velike pa male crke je 2 milijardi let. s tem da morejo zadet se userja. (pa ne nimam samo tega)

Resno mislis da v letu 2023 nekdo brutforca passworde? V resnici je precej bolj preprosto kot si ti mislis, zato sem tudi napisal to kar sem napisal. Odpres en mail attachment (ja vem ti ga nikoli ne, pa ne bodi tako preprican da ga ti ne mores, ker sem v vsem svojem delu spoznal ze na stotine taksnih in drugacnih strokovnjakov in "strokovnjakov", ki nikoli ne bodo padli na taksne fore, pa so), nekdo dobi dostop do tvoje masine (firewalli ti bore malo pomagajo pri tem, domaci "firewalli" pa se toliko manj), potem je pa stvar precej preprosta. Lahko imas miljon znakov dolg password, ki ti ne pomaga cisto nic, ce ti ga nekdo v plain tekstu bere medtem ko ga ti vpisujes na svojem racunalniku v svoji lokalni mrezi. In to je stvar, ki jo v dveh minutah naredi en script kiddie ne, da se nekdo resno spravi narediti ta pravi napad nate. Ko pa vidis kako gre zaresen napad ta pravih agencij, potem ti je precej hitro jasno, da realno nimas nobene niti najmanjse sanse. Edina "varnost", ki jo v Sloveniji imamo je to, da nimamo firm (in taksnih ali drugacnih organizacij), ki bi bile realno zanimive za ta prave ljudi.

nokken je 27. nov 2023 ob 20:05 izjavil:

Resno mislis da v letu 2023 nekdo brutforca passworde? V resnici je precej bolj preprosto kot si ti mislis, zato sem tudi napisal to kar sem napisal. Odpres en mail attachment (ja vem ti ga nikoli ne, pa ne bodi tako preprican da ga ti ne mores, ker sem v vsem svojem delu spoznal ze na stotine taksnih in drugacnih strokovnjakov in "strokovnjakov", ki nikoli ne bodo padli na taksne fore, pa so), nekdo dobi dostop do tvoje masine (firewalli ti bore malo pomagajo pri tem, domaci "firewalli" pa se toliko manj), potem je pa stvar precej preprosta. Lahko imas miljon znakov dolg password, ki ti ne pomaga cisto nic, ce ti ga nekdo v plain tekstu bere medtem ko ga ti vpisujes na svojem racunalniku v svoji lokalni mrezi. In to je stvar, ki jo v dveh minutah naredi en script kiddie ne, da se nekdo resno spravi narediti ta pravi napad nate. Ko pa vidis kako gre zaresen napad ta pravih agencij, potem ti je precej hitro jasno, da realno nimas nobene niti najmanjse sanse. Edina "varnost", ki jo v Sloveniji imamo je to, da nimamo firm (in taksnih ali drugacnih organizacij), ki bi bile realno zanimive za ta prave ljudi.

to se strinjam s tabo. ampak naceloma ce ze grem na nas pogledat (kar je redko, ker dobim vsa obvestila ce je vse ok), se povezem preko vpnja in na svojem racunalniku se prijavim. se strinjam zmeraj obstaja moznost. bom razmislil tudi o 2 step vevification preko telefona za nas.

raceboy je 27. nov 2023 ob 20:17 izjavil:

nokken je 27. nov 2023 ob 20:05 izjavil:

Resno mislis da v letu 2023 nekdo brutforca passworde? V resnici je precej bolj preprosto kot si ti mislis, zato sem tudi napisal to kar sem napisal. Odpres en mail attachment (ja vem ti ga nikoli ne, pa ne bodi tako preprican da ga ti ne mores, ker sem v vsem svojem delu spoznal ze na stotine taksnih in drugacnih strokovnjakov in "strokovnjakov", ki nikoli ne bodo padli na taksne fore, pa so), nekdo dobi dostop do tvoje masine (firewalli ti bore malo pomagajo pri tem, domaci "firewalli" pa se toliko manj), potem je pa stvar precej preprosta. Lahko imas miljon znakov dolg password, ki ti ne pomaga cisto nic, ce ti ga nekdo v plain tekstu bere medtem ko ga ti vpisujes na svojem racunalniku v svoji lokalni mrezi. In to je stvar, ki jo v dveh minutah naredi en script kiddie ne, da se nekdo resno spravi narediti ta pravi napad nate. Ko pa vidis kako gre zaresen napad ta pravih agencij, potem ti je precej hitro jasno, da realno nimas nobene niti najmanjse sanse. Edina "varnost", ki jo v Sloveniji imamo je to, da nimamo firm (in taksnih ali drugacnih organizacij), ki bi bile realno zanimive za ta prave ljudi.

to se strinjam s tabo. ampak naceloma ce ze grem na nas pogledat (kar je redko, ker dobim vsa obvestila ce je vse ok), se povezem preko vpnja in na svojem racunalniku se prijavim. se strinjam zmeraj obstaja moznost. bom razmislil tudi o 2 step vevification preko telefona za nas.

Ali pa še eno offline ali cloud kopijo, ali celo oboje kot imam jaz. NAS dela backup večkrat na dan, cloud 1krat na dan, offline kopija pa vsaka 2-3 meseca, oziroma ko se spomnim. Mogoče je overkill, ampak določene podatke pa res ne želim zgubit, in ni šanse da original plus vse tri kopije bodo uničene. Pa niti ni tolk drago niti komplicirano, ker vse razen zunanjega diska nastaviš enkrat in pozabiš, cenovno NAS itak imam že 10 let in sem ga že zdavnaj izplačal, zunanje diske dobiš poceni, cloud pa plačujem cca 50 eur letno.

Varnost ni poceni ampak še vedno poznam ogrooooomno ljudi kateri ne delajo čist nobenega backupa podatkov, tko da fak it "poslje jeb...a nema kajanja"

AngelOfDeath je 27. nov 2023 ob 19:25 izjavil:

Nekako pridejo do nekega računalnika v sistemu (vpn, email att, rdp, zastarel ruter software)
Ko so tam začnejo pregledovati omrežje in poizkušajo vdreti v strežnike. Ko so vdrli v to spremljajo celotno
delovanje kak teden in nato naenkrat udarijo. Tako da v par urah poizkušajo sesuti in zakodirati vse backupe in datoteke.

Kot prvo, danes obstajajo rešitve z digitalnim podpisovanjem izvršljivih datotek in dlljev in če se pri tem omejiš ti nekdo zelo težko požene neko neavtoriziran program. Za pregledovanje omrežja in skeniranje konkretno vlogo odigra FW, saj ti takšne stvari beleži in lahko tudi poroča. Tudi vsak neuspel poizkus prijave na strežnik se lahko poroča, obenem pa obstaja tudi 2FA. Za backup in ostalo pa tudi obstaja kup rešitev, kjer lahko razpravljamo kako se to zgodi.

Recimo, pri nas ima večina zaposlenih zelo omejene dostope (firefoxa ne morejo inštalirat niti uporabljat portable verzijo). Do glavne infrastrukture se uporablja VPN, kjer ima vsak omejene pravice, kam sploh lahko dostopa. Za vsako snifanje po omrežju dobiš klic iz ITja, če si to ti in kaj počneš. Neavtorizorane naprave (tvoj domač laptop) gredo na "guest wifi". Vsi notebooki so šifrirani, za dostope 2FA itd. Sinhronizacija datotek in vodenje zgodovine sprememb je direktno na strežnik itd. Poleg tega imamo še vsi zaposleni pol letna izobraževanja na temo elektronske varnosti in zaznavanja sumljivih stvari.

Pa smo zelo daleč stran od neke kritične infrastrukture.

Utk je 28. nov 2023 ob 05:43 izjavil:

Pa si bi upal rečt, da se ne more kaj podobnega zgodit? V to si lahk siguren samo dokler se ne zgodi.

V tako veliki obliki bi rekel, da sem kar precej prepričan. In tudi do sedaj nekih (resnih) incidetov nismo imeli. Iz prakse lahko povem, da so zadeve konkretno regulirane. Recimo, če se hočeš s svojim računalnikom povezati na 2 druga računalnika direkto (IP/port) je to že alert, če to narediš večkrat sledi začasni ban - dokler se z ITjem stvari ne uredijo. V interno omrežje prideš samo s službenimi računalniki (MAC naslov) itd.

Kako IT interno hendla te stvari in ali bi lahko nekdo prek kakšnega ITjevca prišel do dostopa, nimam podatka. A glede na to kako vzdržujejo infratrukturo in kako so si stvari postavili, jih s priponko v emailu ne boš prepričal.

Saj najbrž nihče ne misli, da se je to okužilo prejšnji teden.
Lahko je mesece od tega, kar je bila zadeva vnešena. Vsaj tanove zadeve so tako narejene. Vzamejo si čas, da se naselijo povsod. Tudi na backup.

Saj ne veš do katerih datotek pa so dostopali, morda so pridobili načrte hidroelektrarn, elektro vodov in druge kritične infrastrukture.

Glede na te podatke, očitno ni šlo za nek "izjemno sofisticiran napad".

Do podatkov za VPN se lahko pride na različne načine. Ni nujno, da je to neka priponka v mailu. Lahko se tudi koga prebuta na parkingu, recimo...

Saj sem že zgoraj napisal.
Nekomu v firmi daš par jurjev, ali pa še to ne in vtakne eno pritiklino nekam.
Zakaj bi se matral z nekimi vdori? Čez par mesecev tega ne bo nihče izsledil.

Utk je 28. nov 2023 ob 08:58 izjavil:

Glede na te podatke, očitno ni šlo za nek "izjemno sofisticiran napad".

Do podatkov za VPN se lahko pride na različne načine. Ni nujno, da je to neka priponka v mailu. Lahko se tudi koga prebuta na parkingu, recimo...

Seveda, vendar za to obstajajo rešitve. Vsak delavec ne sme imeti preko VPNja dostop do celotne infrastrukture. In če mene prebutaš in dobiš geslo od našega VPN + odklenjen telefon z 2FA boš dobil zelo omejen dostop do VPNja in neke štale ne boš naredil.

Tako da potem bi moral res najti "pravega" ITjevca na parkingu in ga ugrabit, da bi mogoče dobil kakšen boljši dostop. Kar pa se v HSE definitivno ni zgodilo.

dronyx je 28. nov 2023 ob 04:49 izjavil:

raceboy je 27. nov 2023 ob 18:58 izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Kje pa. Tudi če okužba res samo zašifrira podatke je pri kakšnih večjih in bolj sposobnih akterjih (dostikrat sponzoriranih od raznih držav) težko ugotoviti, kaj vse je okuženo. Ti so ti sposobni naložiti kakšen svoj firmware na mrežne naprave in podobno. Skratka taka okužba je lahko samo pri ocenjevanju kaj vse je prizadeto prava nočna mora. Če ti ne samo zašifrirajo podatke, ampak tudi ukradejo, je zadeva še bistveno hujša in praktično nepopravljiva. Kaj naredit v tem primeru, če grozijo z objavo? Ali plačaš in upaš, da so pošteni kriminalci, ali ne plačaš in ti objavijo podatke, nakar lahko dobiš tožbe, če gre za kakšne poslovne skrivnosti, osebne podatke itd. Pa tudi če plačaš ni nobene garancije, da so ti ukradeni podatki res dokončno izbrisani. Te zadeve minimizirat je neumnost. Pa v prihodnje bo samo še bistveno huje, saj bo AI tudi na tem področju omogočala marsikaj, kar se sliši danes kot znanstvena fantastika.

Ne pretiravaj. Dve taki znani okužbi sta bili, oz. tri.

V prvem primeru je bil napaden Proximus v Belgiji, na switche so naložili lasten firmver in to, preden je bil switch dobavljen. Drugitak primer pa je nalaganje firmvera v shadow del firmvera trdega diska, ki niti ni bil dosegljiv z normalnim firmware eraserjem. To mislim, da je bil vdor v nemški parlament. Ker to funkcionira tako, da ima trdi disk bootstrap kodo, ter dve kopiji firmwera. Disk bootstrap koda starta trenutnmo kopijo, če ta ne gre oz. ima double fault, štarta drugo. Nekdo je spremenil bootstrap kodo. To ni možno okužiti "online". To se je nekdo moral fizično priklopiti na disk, ter skopirati gor firmware.

Za tretji primer pa se ne spomnim, mislim, da so popravili Intelov patch za Minix ali nekaj takega. To ne moreš normalno podtakniti niti PCju. To je nekdo moral spremeniti BIOS, da je dovolil zagon neavtoriziranega operacijskega sistema.

To so vse offline metode vdorov.

Teh 500M je šlo na račun gamblanja na borzi, ki se ni izšlo.
V It del je prišlo zaradi tega natanko 0.0 EUR.


https://slo-tech.com/forum/t823252/p808...
To so šolski primeri 3 črkovnih agencij (5 eyes & co), šarjenje po hw, po možnosti pred namestitvijo.

Hdd
https://www.cnet.com/news/privacy/nsa-p...
https://www.vice.com/en/article/ypwkwk/...

Mrežna oprema
https://www.techradar.com/news/networki...
https://www.theguardian.com/books/2014/...


Bios
https://resources.infosecinstitute.com/...