[Перевод] Как ловили хакера и инсайдера во Всемирном банке

Продолжаем веб-серфинг в поисках крутых ИБ-историй. И вот сегодня — поучительный рассказ о том, как Амели Коран (Amélie Koran aka webjedi) практически голыми руками поймала хакера, атаковавшего сервера Всемирного банка, а также инсайдера, который пытался сыграть на этой истории. Обезвредив их, она вышла на гораздо более крупную и опасную «дичь». Историей этой с общественностью поделился англоязычный подкаст Darknetdiaries. Приводим пересказ эпизода.

Скриншот из https://darknetdiaries.com/transcript/91/Скриншот из https://darknetdiaries.com/transcript/91/

Речь в рассказе идет про 2008 год — по меркам цифровизации век не каменный, но еще «бумажный». Чтобы вы понимали, как давно это было: в те времена во Всемирном банке еще вовсю использовали карманные компьютеры PalmPilots, в том числе — для отправки электронной почты. Поэтому некоторые методы и программы, которые упоминаются в рассказе о расследовании, могут показаться устаревшими.

Пара слов о Всемирном банке, где, как выясняется, тоже бывают инциденты

Что же это за организация такая — Всемирный банк. Ведущий Darknetdiares специально разъяснил своим слушателям, которые хорошо разбираются во вредоносном коде, но не в истории формирования мировой финансовой системы.

Решение о создании Всемирного банка, а также Международного валютного фонда, было принято на Бреттон-Вудской конференции, состоявшейся в США в 1944 году. Банк начал активную деятельность в 1945-м и ставил своей целью кредитование стран, которым требовалась помощь в восстановлении экономики, пострадавшей от Второй мировой войны. Таким образом, практически весь восстановившийся послевоенный мир оказался со временем должен Всемирному банку. Позднее кредитная организация добавила в число своих клиентов-должников неохваченные изначально развивающиеся страны.

Как такие, как Амели, становятся «мистером Вульфом», который решает все проблемы

Фото - https://twitter.com/webjediФото — https://twitter.com/webjedi

Прежде чем рассказать о сути инцидента, несколько слов о человеке, который с ним справился. Амели Коран закончила колледж в 1993-м, изучала программирование и социологию. Поработала в Xerox дизайнером пользовательских интерфейсов, системным администратором, отвечала за безопасность серверной инфраструктуры Американского химического сообщества. По-настоящему масштабные задачи ждали Амели в компании, отвечавшей за поставки газа и электричества в ряд штатов США. Не успела она устроиться туда, в службу DFIR (Digital Forensics and Incident Response), как налетел ураган и вывел из строя часть инфраструктуры. Пришлось на ходу и «на ветру» менять подходы к проектированию катастрофоустойчивых ЦОД, а заодно учиться работать в авральном режиме. Полученный опыт Амели развила в компании Mandiant, специализировавшейся на кибербезопасности и позднее в FireEye — одном из мировых лидеров по борьбе с угрозами нулевого дня.

Таким образом, приняв приглашение поработать во Всемирном банке, Амели представляла себе, как именно ведется работа по обеспечению информационной безопасности в крупных организациях. После работы с коммунальщиками она вынесла два урока. Первый: абсолютно безопасную среду создавать бессмысленно, поэтому нужно позаботиться, чтобы ваша инфраструктура была более защищенной, чем у соседей. Второй: аварии рано или поздно случаются, следовательно, нельзя истерить, впадать в ступор. Нужно продолжать работать в условиях катаклизмов.

На новом месте, во Всемирном банке, эти навыки пригодились почти сразу.

 Инцидент

Система мониторинга целостности файлов Всемирного банка зафиксировала изменения на одном из серверов, HSM (Hardware Security Module), по сути, секретном «шкафчике» со всем банковским криптографическим материалом. Служба безопасности выяснила, что к событиям не причастны системные администраторы, подозревали кого-то из посторонних.

Амели Коран к проекту привлекли как подрядчика, она возглавила расследование. Правда случилось это через две недели после взлома сервера, когда было сложно разобрать, что в сети наделал злоумышленник, а что — последствия действий расследователей.

Брошенная на амбразуру, Амели буквально захлебывалась в потоках информации. Она лилась со всех сторон: от инженеров, сетевых администраторов и других сотрудников. И это, по словам Амели, было как попытка удержать песок, утекающий сквозь пальцы. Не было возможности отследить реальные действия злоумышленника и даже просто понять — прямо сейчас он все еще в сети, или нет.

Первое, что сделали, — создали полную копию зараженной машины со всем содержимым, потому что злоумышленник может в любой момент стереть свои следы или удалить какие-то данные.

Но после изучения журналов логов и уведомлений различных IT-систем выяснилось, что преступник получил доступ и изменил конфигурации не на одном, а на тридцати серверах в банке! Все скомпрометированные устройства начали разбирать (в программном смысле, а не в буквальном) на винтики, как в случае с изначально обнаруженным взломанным сервером, сделали и их копии.

Амели рассказывает, что из-за обилия свалившейся информации почувствовала себя как человек, который пытается напиться из пожарного шланга. Она зашивалась — предварительный анализ даже одной машины занимал часы, а пострадали десятки серверов.

Процесс шел медленно, а паника нарастала как снежный ком. Экстренные совещания проводились одно за другим, руководство, по словам ИБ-эксперта, просто сходило с ума, рядовые сотрудники тоже были напряжены до крайности.

Скриншот из мультфильма Скриншот из мультфильма «Головоломка», Walt Disney Pictures Pixar Animation Studios. 2015 г.

Амели Коран вспоминает, как во время очередного безумного конф-колла, где принимали участие CIO, CISO и прочие «шишки», ей, скромному наемному подрядчику, даже пришлось прикрикнуть на них: «Успокойтесь все, черт вас возьми!» В оригинале фраза звучала грубее. Сожалений за этот эмоциональный всплеск она не испытывает. Наоборот. Одна из основных задач специалиста по сложным инцидентам, считает она, внести хоть какое-то подобие порядка в ситуацию, когда у людей от стресса уже идет пар из ушей. Ни высокий IQ, ни глубокие познания в киберрасследованиях не заменят холодной головы. 

Вчера в кабинете, а завтра — в газете!

Рядовым сотрудникам банка не были известны подробности инцидента, зато о них как-то прознала пресса. Издание Wall Street Journal, а затем и Fox News сообщили, в частности, что Всемирный банк переживает «беспрецедентный кризис», сославшись на письмо технического директора. То, что ситуация стала публичной, добавило нервозности. Но главное, злоумышленник, если еще не был в курсе, узнал, что его обнаружили.

Скриншот статьи на Fox News https://www.foxnews.com/story/world-bank-under-cyber-siege-in-unprecedented-crisisСкриншот статьи на Fox News https://www.foxnews.com/story/world-bank-under-cyber-siege-in-unprecedented-crisis

Слить информацию мог только инсайдер. Технические подробности о сроках атаки, пораженных серверах, которые также просочились в прессу, знал очень ограниченный круг людей. Тех, кто принимал участие в «военных советах».

Амели начала составлять список возможных «кротов», первым делом начала присматриваться к айтишникам и топам. Она изучала цитаты из статей и терпеливо искала что-то похожее в переписке главных подозреваемых (эксперт не рассказывает подробности, но судя по всему в 2008 году такой анализ она проводила вручную, никаких DLP-систем как подмоги у нее не было). Постепенно и сами участники группы расследования, и топ-менеджеры начали «косо смотреть» друг на друга — как в игре Among us. «Военсовет» превращался в битву взглядов, когда каждый пытался разглядеть внутреннего врага в ком-то из коллег.

Пока непрофессионалы подозревали каждого встречного, Амели сузила свой круг возможных инсайдеров до пяти-шести человек. Она склонялась к мнению, что инсайдер не присутствует на закрытых совещаниях, но, возможно, привлекается к какой-то более-менее открытой части. Чтобы проверить версию, Амели устроила провокацию: подбросила в комнату совещаний документы с ложной информацией, прикрепила несколько к информационному стенду.

Установив слежку за коридорами и кабинетами, просматривая, кто именно сидит за компьютером (это приходилось делать именно так, буквально подглядывая за персоналом), сотрудники службы расследования обнаружили возможного инсайдера. Его связь со СМИ была полностью подтверждена через несколько дней, когда вышла статья с вброшенной фейковой информацией.

Крупная рыба

С жесткого диска ПК инсайдера был сделан отпечаток. Использовав для этого EnCase (инструмент для форензики) и некоторые другие инструменты, эксперт обнаружила, что письма в СМИ сотрудник отправлял через веб-почту Yahoo, а не через корпоративную Lotus Notes.

Параллельно выяснилось, что инсайдер был связан с прежним руководителем Всемирного банка Полом Вольфовицем (Paul Wolfowitz). Об этом человеке стоит рассказать чуть подробнее. Кандидатуру Пола в качестве руководителя Всемирного банка предложил не кто-нибудь, а лично президент США Джорж Буш-младший. Это вызвало недоумение у финансовых журналистов, поскольку прежней должностью Пола была заместитель Министра обороны. Правда, уволен Пол был не по причине финансового или военного скандала, а потому что устроил в банк свою знакомую.

Пол Вольфовиц обиды не забыл и воспользовавшись моментом решил дискредитировать новое руководство, направив в СМИ компрометирующую информацию. Для ее сбора он решил завербовать специалиста отдела внутренних расследований. Он был геем, но не афишировал этот факт. Десять с лишним лет назад это можно было использовать как рычаг давления. Завербованный сотрудник в свою очередь заставил работать на себя айтишника, который и помог собрать нужные сведения. И именно он, как уже знаем, повелся на приманку Амели. 

Таким образом одна из проблем — слив информации в СМИ — была решена. Амели, распутав один клубок, смогла впервые за многие дни переночевать дома, а не на одеяле под столом, где работала все последнее время. Ночевать под столом, по ее словам, удовольствие то еще.

Как и зачем преступники «вошли» в банк?

Хакер, который копался на серверах, все еще не был обнаружен. Зато стало ясно, как именно он проник в информационную систему. Получилось это не сразу. Хакер сумел проникнуть на один компьютеров, запустил вредоносный код, но тот был заблокирован антивирусом. Преступник попробовал другую уязвимость — получилось, антивирус не отреагировал. Злоумышленник развил атаку и получил доступ к хэшам паролей. С их помощью взломал учетку системного администратора.

Амели решила проверить, насколько слабый пароль у сисадмина и сколько времени займет взлом. Выяснилось, что узнать пароль столь ответственного сотрудника банка получается всего за всего несколько минут, о чем Амели и поведала руководству. Она также догадывалась, что это системная проблема, попросила администратора обновить пароль и записать его на бумаге. После этого запустила программу для аудита паролей и взломала новый за несколько минут. Как и прежние пароли, он был несложным: это было имя дочери менеджера с годом ее рождения.

В банке пересмотрели парольную политику, доработали политики разграничения доступов, а через несколько месяцев пригласили специалистов из Microsoft, чтобы те провели независимый аудит ситуации с AD и паролями во всем банке.

Так кому же потребовался взлом Всемирного банка?

В этой части рассказа меньше всего подробностей, но вот какие данные расследования смогла раскрыть Амели Коран. Выяснилось, что хакеры активно искали доступ к базам данных, которыми пользовались руководители HR-подразделения. Иначе говоря, злоумышленников интересовали имена конкретных сотрудников банка. Специалисты компании Mandiant, подключенные к изучению вредоносного кода, применили для анализа свой новый инструмент Mirror. По совокупности собранной информации руководство Всемирного банка смогло сделать вывод, что атакующие, скорее всего, — китайские хакеры.

1182829862ed260c87dd4d2e7f24d574.png

В завершении рассказа о расследовании Амели поделилась впечатлением об ощущениях от работы на таком большом проекте: «Пока ты бьешься над техническими проблемами, у тебя и адреналин, и эндорфины, и чувство собственной значимости. Но когда приоткрывается политическая или экономическая подоплека, то обнаруживаешь, что являешься частью иной, еще более сложной игры».

© Habrahabr.ru