A brit Sophos a hét elején tett közzé egy tanulságos sztorit a Lockbit zsarolóprogramot használó bűnözőkről, akik özel hat hónapot töltöttek egy meg nem nevezett amerikai regionális kormányhivatal hálózatában. Körülbelül egy hónappal azelőtt, hogy a szervezetnél elkezdték volna kivizsgálni a behatolást, a kiberbűnözők törölték a naplóadatok nagy részét, hogy elfedjék a nyomaikat. De ezt nem sikerült maradéktalanul végrehajtaniuk, sőt a böngésző keresési előzményeinek eltakarítására sem gondoltak, így a biztonsági cég szakemberei fel tudták vázolni a támadás menetét.

A hekkerek állítólag tűzfalat konfiguráltak át olyan módon, hogy az nyilvános hozzáférést biztosítson egy RDP-kiszolgálóhoz. Bár a jelentésből nem derül ki, hogy pontosan hogyan jutottak be a hálózatba, a The Register riportjában arról írnak, hogy egy rendszergazdai fiók eltérítésével oldották meg a dolgot, amelyen keresztül Windows domain adminisztrátori jogosultságokat is szereztek, ami nyilvánvalóan megkönnyítette számukra a hálózat feltárását és veszélyeztetését.

A ransomware-banda után egy csomó hekkereszköz maradt az irányított szerverekre és asztali számítógépekre teleítve, amelyek sikeres használatátra utaló naplókat is találtak a Sophos szakemberei. A beszámolóból szerint a támadók több útvonalat is biztosítani akartak maguknak az ügynökség gépeinek eléréséhez, hogy a vissza tudjanak kapcsolódni, ha egyiket vagy másikat lezárják. A jelentés alapján azonban a hálózat technikusai is követtek el baklövéseket, így például az egyik esetben a karbantartási munkák végeztével kikapcsolva felejtettek egy fontos védelmi funkciót.

A saját gépeiken keresgélték a rájuk szánt malware-eket

A kiberbűnözők netes kereséseiből kiderült, hogy a kormányzati számítógépeket használták különféle rosszindulatú szoftverek felkutatására és telepítésére. A hálózaton való, hónapokig tartó turkálás után a bűnözők aztán komolyra fordították a szót: a naplók azt mutatták, hogy telepítettek egy olyan nyílt forrású eszközt, amelyik már képes a bejelentkezési hitelesítő adatokat is kinyerni a Windows rendszerekből. A Sophos itt kiemeli, hogy víruskeresője jelezte az első ilyen próbálkozást, de az informatikai részleg nem vette figyelembe a program figyelmeztetését.

A biztonsági csapat öt hónap elteltével vette észre, hogy a rendszerek ismételten újraindulnak, és más esetekben is furcsán viselkednek. A hálózatok vizsgálata és szegmentálása, illetve az újjáépítések során azonban letiltották a szabotázsvédelmet (tamper protection), a támadók pedig a megszerzett hitelesítő adatok felhasználásával érzékeny fájlokhoz férek hozzá vagy titkosították azokat, és nekláttak egy újabb adag azonosító feltörésének is. A hivatal állítólag ekkor fordult a Sophos biztonsági elemzőihez, hogy együttműködjenek velük a hozzáférések leállításában és a kártevők eltávolításában.

A tanulságok összefoglalása a biztonsági cég oldalán is olvasható. Ilyen tanulság például, hogy a célpont informatikai csapata egy sor olyan stratégiai döntést hozott, amelyik lehetővé tette a támadók szabad mozgását és akadálytalan hozzáférését a belső erőforrásokhoz. A riasztásokra vagy a lecsökkent teljesítményre vonatkozó figyelmeztetéseket sem vették figyelembe, amivel pedig a támadás további szakaszainak vehették volna elejét, de a kritikus biztonsági funkciók letiltása volt az, amire a támadóknak szükségük volt az akciójuk befejezéséhez.

Részletek a behatolás jeleiről és a hálózaton belüli szokatlan viselkedésről a Sophos jelentésében »