Tovaris Grincs és a Karácsony – egy nehéz hét krónikája

Igazán sűrű hétnek nézünk elébe. Úgy látszik, hogy a múlt heti eseményeknek még sokáig fogja nyögni a kibertér. Sok furcsa dolog történt az előző napokban és várható, hogy a lövészárokban idén nem lesz áldott, békés és boldog a Karácsony. Foglaljuk össze az elmúlt napok eseményeit.

Esküszöm, valami digitális Grincs igyekszik szétcseszni a karácsonyt. Ilyenkor már az incidenskezelők a falnak támasztják fegyvereiket, békésen rápihennek a kiberbűnözők, és legfeljebb lopott bankkártya adatokkal vásárolják a bájglit. De idén nem. (Idén sem.)

Lássunk hát egy fiktív összefoglalót az elmúlt napok eseményeivel. Természetesen semmi valóságalapja nincs az itt felvázolt sztorinak, minden egyezés a véletlen műve. Meg az oroszoké.

2020.12.08 – A FireEye bejelenti, hogy meghackelték őket.

A FireEye bejelenti, hogy feltehetőleg orosz államilag szponzorált akció keretén belül meghackelték és ellopták a saját fejlesztésű, biztonsági teszteléshez használt, de kiberfegyverként is alkalmazható eszközeit.

A FireEye a világ egyik legnagyobb kiberbiztonsági vállalata, gyakorlatilag már-már privát, digitális titkosszolgálatként működik. A cég Mandiant részlege többszáz fős biztonsági csapattal rendelkezik (hackerek, nyomelemzők, hírszerzők, elemzők, „fegyverfejlesztők”, stb.), akik nem csak a védelemben jeleskednek, de bizony OLYAN esetekben a támadóképességüket is csillogtatják, ezért érthetően mindenki kellően beijedt, vajon miket vihettek el az arzenálból, és mit fognak elkövetni az eszközökkel…

A FireEye felelősségteljesen és teljesen korrektül jár el, gyakorlatilag mindent nyilvánosságra hoz, sőt, kiadják azokat a szabályokat és kódokat, amellyel a védelmi eszközök képesek a FireEye támadókódjait és tevékenységeit felismerni.

Több forrás is részletes elemzést jelentet meg az eszközökkel kapcsolatban, így akik odafigyelnek, hogy mi történik a digitális térben, azok megfelelően tudnak védekezni az ellopott eszközök ellen.

A FireEye folytatja az esemény kivizsgálását, kb. a teljes Mandiant részleg vörös szemekkel túrja a nyomokat és zabálja a logokat. Keresik a választ arra, amit igazából senki nem ért: hogy a fenébe történhetett mindez? Hogy juthattak be a hackerek a cég rendszereibe anélkül, hogy észlelték volna a tevékenységet?

2020.12.10 – Leáll a Messenger és kiesik az Instagram

Tinédzserek omlanak össze. Képtelenek a pillanatokat megörökíteni, azok rendelkezésre állásukban helyreállíthatatlanul sérülnek, örökre elvesznek, mintha meg sem történtek volna.

Félőrült influenszerek rázzák az ég felé a szponzoroktól kapott Iphone telefonjaikat zokogva. Nincs „Ti melyiket szeretitek?”, „Sokan kérdeztétek, hogy hol...”, Sokan kérdeztétek, honnan…”„Csak azt akartam megmutatni, hogy én…”, „Ha akartok ilyen csodás zebracsíkos popsimelegítőt azt itt…”. Pont a legnagyobb vásárlási láz kellős közepén esik ki a megélhetést jelentő elsődleges rendszer, bekövetkezik a single point of failure.

DR terv nincs, az influenszerek attól rettegnek, ha nem gyógyul meg a világ, el kell menniük dolgozni.

Szerencséjük van. Ezúttal.

A rátermettebbek elkészítik az üzleti hatáselemzést és a disaster terveket (regisztrálnak a Tik-Tokra és csatornát indítanak a YouTube-on).

A céges kommunikáció a Messenger kiesésével akadozik, félig lebénul. Ott van ugyan a Teams meg a többi, de a munkatársak hatékonyabban a kommunikálnak a Messengeren, és Teams meg Zoom meeting URL-eket a Messengeren küldik el egymásnak, így most néhány óra alatt többévi meeting marad el, mivel a meghívók soha nem érkeznek meg.

Elárvult Messenger botok szomorkodnak, néha kétségbeesetten megpróbálnak a hetekkel korábban rájuk írókkal kapcsolatba lépni. – Ott vagytok? Egyedül vagyunk. Sötét van. Félünk. PING? Van még itt valaki? – De nincs válasz, egyedül maradtak a magányos intelligenciák.

2020.12.11 – Leáll az XHamster

A hét lovas közül a második is eljöve. Kiesik az XHamster pornósite, a felhasználók átmennek a Pornhub oldalra, de onnan meg éppen törlik a kedvenc videóikat.

Többmillió videó tűnik el, amelyeket nem hitelesített felhasználók töltöttek fel. A felhasználók inkább megpróbálják újra az XHamstert, amely éppen újra indulna, de a terheléstől megint összeomlik. A felhasználók ránéznek férjükre vagy feleségükre, aztán inkább megpróbálják a Porntube-ot.

(Ennek semmi köze a tényleges eseményekhez, de az apokaliptikus élményhez hozzátartozik.)

2020.12.13 – A FireEye bejelenti, hogy a kibertér törtrénetének talán legnagyobb támadása zajlik

Megérte nem aludni Milpitas-ban!

A FireEye főhadiszállásán valaki felkiált: – Heureka madafakka! – ezek után nem sokkal kiadnak egy közleményt, miszerint talán az egyik legsúlyosabb (bár lassan kijelenthető, hogy a legsúlyosabb) kibertámadása van folyamatban, amely a fél világ tech- és kormányzati szektorát, illetve a magánszektort is érinti.

A Solarwinds hálózati és infrastruktúra menedzsment eszköze, az Orion került a feltehetően orosz állami szponzorált hacker akció célkeresztjébe.

Valahogyan a hackereknek sikerül az Orion egyik frissítőcsomagját megfertőzni egy DDL fájlba helyezett kártékony kóddal, amely miután a rendszergazda telepíti az Orion frissítését, kis pihenő után akcióba lép, adatokat szivárogtat, illetve hozzáférési lehetőséget biztosít az infrastruktúrához.

Akkora lehet a baj, hogy az USA kibervédelmi hivatala, a Cybersecurity and Infrastructure Security Agency (CISA) vészleállítást rendel el, és utasítja a kormányzati, illetve szövetségi intézményeket, hogy kapcsolják le a Solarwinds Orion-t.

Kétségbeesett ISACA tagok telefonhívásai terhelik túl az ISACA vonalait. A tagok nem értik, miért emlegeti mindenki a CISA-kat?! – Én CISA vagyok, de nem értem! Milyen Orion?? Az felszállt, Dietmar Schönherr meg már sajnos halott. – Később tisztázódik, hogy másik CISA-ról és másik Orionról van szó, így a CPE pontok megmaradnak.

Rengeteg intézmény érintett lehet, a Solarwinds ügyfelei között van a Fortune 500-as cégek 425 tagja, a legnagyobb könyvvizsgálók, védelmi ipari cégek, továbbá olyan kormányzati és nemzetvédelmi szereplők, mint az amerikai elnöki hivatal, a pénzügyminisztérium, a kibervédelem, sőt a hadsereg is.

A Solarwinds O365 levelezése is kompromittálódhatott, és benne természetesen az ügyféladatok.

Jó ég! Mi fog még itt történni???!

2020.12.13 – Bejelentik, hogy meghackelték az USA Államkincstár levelezését

Az oroszok nem bírnak magukkal. Legalábbis mindenkinek az a véleménye, hogy az oroszok voltak. Az oroszok ezt pontosan tudják, de csak annyit mondanak: – Izvinyitye ja nye pənyimaju, nye gəvarju paruszki. Polónium csáj bitte?

A Solarwinds-ügy hatásának és a hónapok óta tartó kiberkémkedésnek tudják be a szakértők Kincstár elleni támadást is. Az oroszok nem csak a spájzban, de a Kincstár O365-ében is ott vannak. Minek mentek oda? Az ő bajuk!

2020.12.14 – Leáll a teljes Google, nincs GMail, Drive, Docs, Youtube

A fél világ nem tud dolgozni, nincs levelezés, nem érik el a fájlokat, minden megállt.

Sokkal rosszabb, hogy az influenszerek már tényleg az összeomlás határán állnak! Alig sikerül valami bóvlit rásózni a követők vásárlásra éhes sáskahadára.

Rájönnek, hogy a Tik-Tok teljesen alkalmatlan bármire is, hacsak nem a testüket mutogatják – de a pénz és a követő nagy úr. Ennyi félpucér sminkest, villantó ékszerkufárt, ruhatár, cipő, sampon unboxingot még nem látott a Tik-Tok.

A Tik-Tok közösség megbolondul. Koxosjános ellenáll, és ezentúl csak felöltözve tolja a videókat. Abovehorizont felhagy a légiutaskísérő és botcsinálta rapper viviensapi fűzésével, Yordygame befejezi a játéktesztelést, Ladyszomjas szakít. zsolt_atya már a világvégéről prédikál.

A laptop DJ-k a Youtube leállásakor előveszik a Winampot, és kétségbeesetten hozzák fel a pincéből az ezeréves CD-ket az Xmas bass selection mp3 válogatással. A legtöbbnek egyébként egyáltalán nincs CD olvasója.

2020.12.14 – Lehet hogy egy szög miatt veszett a patkó a ló és a lovas?

Este robban a bomba. Lehet, hogy megvan, hogyan hackelték meg a Solarwindset és rajta keresztül a fél világot?

Kiderül, hogy már 2019 novemberében szólt egy kutató a gyártónak, hogy hozzáférhető a Github repójuk, bizonyítékul fel is töltött egy fájlt a repóba. Az FTP jelszó vége 123 volt, egyesek az Admin123 jelszót haluzzák be.

Gyakorlatilag ez azt jelentheti, hogy egy hacker képes lehetett feltölteni a kártékony kódot a repóba. Az nem teljesen világos, hogyan sikerült a kompromittált DLL fájlt digitálisan aláírni, de ha volt hozzáférés a repóhoz, akár a forrásba is bele tehette (erős feltételezés), aztán amikor a Solarwinds buildelt, akkor a saját digitális aláírásával a normál folyamatok szerint aláírta a DLL-t.

Egyre többen feltételezik, hogy egy triviális, Github credential leak jelentette a bejáratot, és egy kompromittált, gyenge jelszó vezetett a fél világ megdőléséig. Ez persze csak tévedés és rágalom lehet.

A Solarwinds bejelenti, hogy 33 ezer Orion-ügyfélből 18 ezer frissített a kártékony kóddal megfertőzött javításra.

2020.12.14 – Nemes Dániel interjút ad

A FireEye hazai képviseletének alapítója, a Capo di tutti capi (legkedvesebb barátom, valaha volt legro…legjobb főnököm, aki közgazdászként és topmenedzserként Balzac-hosszúságú AWK és SED scripteket ír hobbiból) interjút ad a Forbes-nak. Kimondják a szót:

Kiberháború.

Felvetik, hogy lehetnek szakértők, akik sötét sarokban összebújva, lehajtott fejjel arról suttognak, hogy a Microsoft Office 365 szolgáltatása is érintett lehet, amely ha bebizonyosodik, akár több százmillió vállalati és intézményi e-mail fiók kompromittálódását jelentheti.

Nem, nem. Az nem lehet! Előbb megy Elon Musk mosogatni egy népkonyhára, minthogy ez igaz legyen!

2020.12.14 – Újra megjelenik, hogy a Solarwinds CEO-ja még novemberben eladta a részvényei többségét.

Még november végén jelent meg, hogy Kevin B. Thompson 3.6 millió dollárnyi Solarwinds részvényét adta el.

Az újra felbukkant hírnek más színt és ízt adhatnak az elmúlt napok történései, de persze ez csak a gyíkemberes meg kemtréles konteóhívők fejében fordul meg, egyébként csak szerencsétlen véletlen. (Ahogy Putyin, úgy és sem szeretem a véletleneket. Túl sok előkészítést igényelnek.)