Američka Agencija za nacionalnu sigurnost (NSA) porekla je da su internetski kriminalci koristili bilo koji od njezinih hakerskih alata za propagiranje napada na baltimorski državni sustav.
Napad je onesposobio gradske službe već nekoliko tjedana dok dužnosnici razmišljaju o sljedećem potezu. Prema izjavi koju je objavio zastupnik C.A. Nizozemski dužnosnici Ruppersbergera, NSA-e koji su razgovarali s njim, porekli su da su bilo koji alati razvijeni od agencije korišteni za otmicu ili ometanje vitalnih državnih računalnih sustava.
U skladu s izjavom gradonačelnika Bernarda Younga, grad ne želi platiti otkupninu koju traže počinitelji, a to je 3 bitkoina po zaraženom sustavu. Vladini dužnosnici priznaju da bi prošli mjeseci prije nego što se sve platforme obnove
Iako je velika većina sustava u gradu isključena nakon napada na zlonamjerni softver, kritični poput 911 i 311 mreža nisu utjecali i još uvijek su uključeni. Izvještava Wall Street Journal da je otprilike 10.000 državnih računala zaraženo, a mnoga su i dalje zaključana.
Trenutno postoje kašnjenja u obradi prodaje kuća, jer pogođeni sustavi ne mogu se koristiti za otkrivanje detalja o prodavačima imovine, poput neplaćenog založnog prava. Takve informacije moraju se dostaviti osiguravateljima, ali trenutno su nepristupačne. To je također pogođeno sustavima za naplatu vode, pa kupci neko vrijeme neće primati račune. Kašnjenje će vjerojatno uzrokovati skok optužbi kad se situacija riješi.
Slijedi odlomak službeno priopćenje gradonačelnika pružajući pregled trenutne situacije.
“Ne mogu vam pružiti točan vremenski raspored kada će svi sustavi biti obnovljeni. Kao i svako veliko poduzeće, imamo tisuće sustava i aplikacija.
Naš je fokus vraćanje kritičnih usluga na mrežu i to na način koji osigurava da sigurnost ostane jednim od naših glavnih prioriteta tijekom ovog postupka. Možda ćete vidjeti kako se djelomične usluge počinju obnavljati u roku od nekoliko tjedana, dok će neki od naših složenijih sustava možda potrajati mjesecima u procesu oporavka. “
Google je onemogućio račune za Gmail u Baltimoreu
Nakon napada, vladino osoblje u Baltimoreu očito je pokušalo uspostaviti privremene Gmail račune kao zaobilazno rješenje nakon deaktiviranja zaraženih sustava i prema Baltimorskom suncu, mnogi od njih bili su invalidi.
U početku nije bilo jasno zašto se to dogodilo, ali Brooks Hocog, glasnogovornik Googlea, pojasnio je da je masovno stvaranje Gmail računa na lokaliziranom zemljopisnom području pokrenulo sigurnosni sustav tvrtke koji je onesposobio veliku većinu njih. Mnogi su navodno obnovljeni nedugo nakon objavljene izjave.
Kako je došlo do zaraze
Hakeri su uspjeli zaraziti tisuće računalnih sustava u vrlo kratkom vremenskom razdoblju, navodno koristeći EternalBlue, procurili NSA-ov alat za hakiranje. 7. svibnja radnici gradske vlade probudili su se i pronašli kritične datotečne sustave šifrirane ransomwareom.
Cyber kriminalci tražili su plaćanje bitcoinima. Iako su sustavi odmah isključeni iz mreže i FBI je pozvao da ispita, sustav govorne pošte gradske uprave i baza kazni za parkiranje, među ostalim, bili su šifrirani. Tvrtka Cyber Security, Armor, podijelila je uređenu sliku bilješke koju je ostavio hakeri koji traže otkupninu.
Upozorio je da će se nakon četiri dana povećati na 10.000 američkih dolara, dodajući da se neće voditi daljnji pregovori.
Vjeruje se da cyber kriminalci imaju stekao pristup državnim poslužiteljima kroz ranjivi računalni sustav. Tada su mogli stvoriti backdoor koji je omogućio zaraženom računalu da zarazi druge povezane na njegovu mrežu.
Izvođači kibernetske sigurnosti koji rade na projektu navodno su otkrili još jedan alat nazvan mrežnom ljuskom koji se mogao koristiti zajedno s EternalBlueom za “prosljeđivanje-raspršivanje” preko mrežnih računala. Vjeruje se da je to omogućilo širenje zlonamjernog softvera korištenjem kopiranih vjerodajnica za zaobilaženje mrežnih protokola.
EternalBlue široko koriste kripto hakeri
EternalBlue exploit razvio je NSA, ali Shadow Brokeri su procurili na mrežu 2017. Izvorni kod od tada su brojni zlonamjerni akteri modificirali kako bi prodrli u računalne sustave i instalirali zlonamjerni softver, rudare kriptovaluta i ransomware.
Značajno je korišten za izvođenje zloglasnog napada WannaCry ransomware koji je zarazio računala širom svijeta 2017. samo nekoliko mjeseci nakon curenja. Djelovalo je šifriranjem datoteka na osobnim računalima, a zatim zahtijevanjem otkupa koji se plaća kripto. Preko 150 000 računala zaraženo je u više od 100 zemalja.
Microsoft je brzo objavio zakrpu dizajniranu da spriječi napad, ali još uvijek postoje milijuni računala koji su ranjivi zbog široke upotrebe krivotvorenog Windows softvera, neuspjeha u instaliranju zakrpe ili najnovijih Microsoftovih sigurnosnih ažuriranja. Istražitelji vjeruju da je neuspjeh u instaliranju sigurnosnih ažuriranja protiv eksploatacije uzrokovao tako uspješan napad na Baltimore.
EternalBlue preferiraju Crypto Mining Hacker grupe
EternalBlue se ponovno pojavio u središtu pozornosti u siječnju nakon što su istraživači otkrili njegovu upotrebu u sofisticiranoj kriptoizvodnoj kampanji koja je posebno ciljala računala i poslužitelje u Kini.
Sigurnosni tim Qihoo 360 zaslužan je što je prvi otkrio zarazu. Kampanja se očito oslanjala na EternalBlue, zajedno s nekim zastrašujućim PowerShell skriptama za preuzimanje korisnog tereta zlonamjernog softvera na zaraženim računalima i miniranju kriptovaluta poput Monero.
U novije vrijeme Symantec je otkrio veliku kampanju kripto dizanja koja uključuje eksploataciju EternalBlue koja je posebno ciljala poduzeća u Kini. Oslanjao se na kriptokop koji se temelji na datotekama. Početna zaraza strojeva očito je provedena putem phishing e-pošte.
Vjeruje se da je nedavni uspon tržišta kriptovaluta potaknuo ponovno oživljavanje napada zlonamjernog softvera kriptodokerima. Symantec izvještava da su zaraze kriptodokretima pale za oko 50 posto u 2018. nakon što je kripto tržište prešlo u medvjeđi mod.
Izvještaj naglašava da su, iako su napadi ransomwarea u padu i sada smanjeni za oko 20 posto, kampanje usmjerene na poduzeća povećane za oko 12 posto.
(Istaknuta slika: Pixabay)