[Перевод] Сгорел сарай, гори и хата, или Месть британского сисадмина
Мы с очередным рассказом из подкаста Darknet Diares — история про британского системного администратора, который решил мстить работодателю. Примечательна она не столько описанием технических аспектов атаки на инфраструктуру, а раскрытием мотивов поведения «диверсанта».
Герой, он же антигерой рассказа, отправился в камеру прямо после интервью, которое дал автору Darknet Diares Джеку Райсайдеру. Выйдет из мест заключения злопамятный сисадмин в 2023 году. О том за что его повязали и как он дошел до жизни такой, мы и расскажем.
Скриншот с сайта Darknet Diares
Но сначала небольшое лирическое отступление, которое после поможет нам понять мотивы мстителя. Автор подкаста Джек Райсайдер перед интервью рассказал, как в детстве обнаружил в шкафу коробку с маминым любимым печеньем. Решив попробовать сладости, мальчик не смог остановиться на одной, второй и даже третьей печенюшке и съел полкоробки. Тут его накрыл тихий ужас. Малыш понял, что скрыть содеянное уже никак не выйдет. Но сработала аномальная логика охваченного страхом и желанием уйти от ответственности детского мозга. Он подсказал мальчику следующий выход — если в шкафу вообще не будет коробки с печеньем, может быть мама забудет о ней? И действительно, мама Джека, то ли забыв, то ли не желая травмировать психику ребенка, действительно ничего ему не сказала о пропаже.
И возвращаемся к герою интервью. Адам (имя вымышленное) родился в Австралии в смешанной семье — папа из Великобритании, а мама из Тайланда. В детстве у героя подкаста были проблемы. Он был жертвой уличных хулиганов, которые отбирали у Адама деньги. Жалоба в полицию создала только новые проблемы — он получил формальные извинения от шпаны, которые они дали в присутствии полицейских, а после продолжили не только отнимать деньги, но еще и избивать. Парень перестал ходить в школу и из-за неуспеваемости был переведен в интернат для проблемных детей. Здесь он связался с членами банды и вместе со всеми получил срок за групповой грабеж.
Новая жизнь
После выхода Адама из тюрьмы семья перебралась на Британские острова, где решила начать новую жизнь. Парень рассчитывал, что и у него получится. Тем более, что удалось устроиться младшим сисадмином в школу. Помог опыт работы на компьютере, который Адам получил еще в Австралии, когда вместо уроков днями напролет сидел за клавиатурой. Правда пришлось поставить галочку в анкете, где упоминалось что-то про проверку судимости, но поговорив с начальством парень успокоился. Его заверили, что это формальность и даже несмотря на австралийский инцидент, «все будет пучком».
Работа начинающего сисадмина подразумевала замену сломанных клавиатур, сброс паролей, а также установку обновлений на учительские и ученические компьютеры. Через полторы недели Адам уже примерно представлял себе школьную парольную политику. Он увидел, что на всех компьютерах используется один и тот же пароль локального администратора, Адам предположил что он совпадает с паролем админа домена. Когда он спросил об этом у босса, тот промолчал и лишь улыбнулся. То есть менять устоявшиеся парольные правила никто и не думал.
Пользоваться полученной информацией во вред работодателю в планах у Адама не было. Наоборот он вдохновился тем, как улучшит местные стандарты безопасности (в интервью он назвал их просто «полное дерьмо»). Но шанса не представилось — Адама уволили. Причиной стала та злополучная галочка о судимости. Руководство сделало вид, что беседы о несущественности факта проверки судимости просто не было. Адам, конечно же, разозлился.
Новая криминальная жизнь
Новую работу юноша нашел, а дальше и следующую. Из новичков он перешел в разряд старших специалистов, стал получать больше денег, обрел новые знания, в том числе и по удаленному управлению компьютерами. В свободное время начал общаться на игровых форумах, где тусовались читеры, и из любопытства осваивал околокриминальные навыки. При этом, как утверждал в интервью, на тот момент морально не был готов к применению новых знаний на практике.
Перешел он «красную черту» после разрыва с любимой девушкой — захватила депрессия, чувство неоцененности как в личной жизни, так и на работе. Чтобы отвлечься, он все больше времени проводил, играя в видеоигры и просматривая хакерские веб-сайты и форумы. Там он (опять же, как утверждал для расширения кругозора) изучал вредоносное ПО, способы взлома систем, ящиков электронной почты, мессенджеров Teams и Slack. И вот именно в такой период, поздно вечером в январе 2021 года, Адам перед сном решает проверить — как там поживает его старый аккаунт в школе?
Удивительно, но в форме автозаполнения на портале высветился его электронный адрес. Адам решил проверить, поменяли ли пароль к учетной записи администратора Office 365. Пароль сработал, и парень решил посмотреть, как изменилась ИТ-инфраструктура школы спустя 4 года. Под своим паролем он получил доступ к другим учеткам, компьютерам, электронной почте, Skype, SharePoint.
Аппетит пришел во время еды — Адам нашел три учетки, которые дали ему еще больше прав. С ними он получил полномочия супер-администратора. Парень был в курсе, какие его действия могли привлечь внимание системы безопасности и старался быть аккуратным. Он выбрал учетку, которой давно не пользовались, полагая, что даже если его манипуляции обнаружат, то не обратят на них внимания.
Адам проверил, может ли он получить доступ не только к облачному порталу, но и к локальной сети школы. Вспомнив, что была возможность заходить туда из дома по VPN, он просмотрел переписку сотрудников, пытаясь найти в ней подсказку. И в одном из сообщений, действительно, нашел ее — это была конфигурация для VPN. Поковырявшись пару часов, он подобрал требуемый пароль и получил доступ к школьным компам. Победа!
Но тут же к нему пришло понимание того, что он зашел в локальную сеть со своего домашнего IP и этого уже не исправить. Адам понимал, что его шансы оказаться в отделе полиции примерно 50/50, и исход зависит только от того, захотят обратиться в полицию школьные админы или нет.
Азартный разрушитель
И вот здесь и начала работать аномальная логика, как в упомянутой выше истории о детях и сладостях. Как и ребенок, который вместо того чтобы остановиться, доедает печенье до конца, Адам тоже решил действовать радикально. Тем более, что в этот момент ему вспомнилась былая обида о несправедливом увольнении. Герой решил мстить, заодно, заметая следы.
Он решил удалить данные со всех серверов, которые могут хранить сведения о его посещении, а кроме того, информацию с гаджетов пользователей. С помощью IP-сканера он выяснил, какие устройства его окружали — тысячи планшетов и телефонов, принадлежащих ученикам и учителям. Адам сбросил настройки на 2947 устройствах до заводских — люди просыпались от уведомлений Office 365 и обнаруживали, что все их фотографии, тексты и файлы полностью исчезли.
Юноша в азарте уже не мог остановиться — он удалил все учетные записи, до которых смог дотянуться. А чтобы никто не мог войти в систему, нашел и почистил резервные копии. Он старался, чтобы после его ухода везде, где он побывал оставался только черный экран.
Все описанные события происходили в пандемию, когда обучение велось дистанционно. Таким образом, разрушив школьную инфраструктуру, Адам лишил возможности зайти на школьный портал тысячи людей. Не говоря уже о том, что у многих данные были стерты и на их мобильных устройствах.
Рецидив и наказание
Всю следующую неделю Адам не мог спокойно есть, спать и работать — он понимал, что возмездие не за горами. И когда к нему в дом постучали полицейские, сходу во всем признался. На восстановление более-менее работоспособной среды ушел месяц. Чтобы ускорить процесс школа заплатила специалисту Microsoft 15 тысяч долларов.
Находясь под следствием Адам продолжил работать в ИТ-отделе другой компании, где тоже успел создать поводы для увольнения: тратил деньги с корпоративной карты без согласования с начальством. После всего содеянного в школе у Адама уже не было моральных барьеров, поэтому в этот раз решение о мести далось ему проще.
Схема была практически та же. Адам вошел на корпоративный портал Office 365 и удалил ПО на компьютерах ИТ-директора, других своих бывших начальников, рядовых сотрудников. По разрушительности эту атаку нельзя сравнить со стертой программной ИТ-инфраструктурой школы, но в пострадавшей компании не было сомнений, кто сотворил диверсию. Да и после пары дней сомнений Адам все же дал признательные показания, а до ареста — интервью.
Оставим анализ личности психологам (хотя по-человечески хочется пожелать, чтобы в жизни любого было меньше поводов для мести). Но с точки зрения ИБ мораль тут только одна: после увольнения пароли всегда должны меняться, а старые учетки — удаляться. Правило банальное, но похоже оттого его так часто и игнорируют.
С каким самым эпичным фактом «ИБ-пофигизма» вы сами сталкивались на работе?