Attacco informatico ... sempre vivo! (Feedback)

Pubblicato da Giuseppe MICACCIA - -
Cyber attack... still alive !

La nostra azienda ha subito un violento e terribile attacco informatico, che avrebbe potuto distruggerlo. Ma, grazie in particolare all'inesorabilità del suo team di computer, è ancora viva e senza sequele. Questo articolo è un feedback che potrebbe essere utilizzato da altre società.

19 marzo: San Giuseppe


7:55: un tecnico (aspirante amministratore) mi ha detto che non poteva connettersi a uno dei nostri server virtuali in RDP (Remote Desktop Protocol). Immediatamente, ho interrotto ciò che stavo facendo e mi sono collegato direttamente a questa macchina, tramite vSphere (VmWare).


Vedendo il teschio, sapevo che eravamo stati attaccati e immediatamente sospesi tutti i server virtuali. Perché, in tali circostanze, è necessario congelare la situazione e raccogliere prove (file timestamp, software utilizzato, file iniettati).

 

 

 

Il direttore IT voleva avere una rapida stima dell'entità del danno. I backup sembravano corretti. In effetti, un altro tecnico, aspirante amministratore come il primo, che spesso fa anche osservazioni pertinenti, ha affermato che i backup erano buoni perché abbiamo ricevuto l'e-mail automatica alla fine dei backup ed era tutto verde ( nessuna anomalia).


Ma controllando direttamente sui server di backup, ho capito rapidamente che, a quanto pare, non era rimasto molto perché molti file mancavano e i file presenti apparivano tutti crittografati. Quindi, sembrava che non avessimo nulla: nessun backup locale, nessun backup sul sito remoto, nessuna replica di server virtuali ... nada! Apparentemente, non c'era altro che fumare cenere. Questa macchina fisica sembrava inapplicabile, a quanto pare, ma abbiamo mantenuto la speranza di recuperare qualcosa, abbastanza per rilanciare il business. Inoltre, dovevamo ancora vedere cosa era possibile ripristinare sull'altra macchina fisica, il server di backup del sito PRA (Piano di ripresa delle attività), che dovevamo riportare alla sede del affari al più presto.


Pertanto, secondo i risultati preliminari, gli hacker avevano distrutto tutto, immediatamente dopo l'invio automatico dell'email "report dei backup automatici".


In quel momento, mi dissi che la giornata sarebbe stata lunga, molto lunga. Questo è stato il caso. I dipendenti dell'azienda erano preoccupati, e giustamente, e molte persone arrivarono alla notizia. Abbiamo dovuto isolarci un po ', il tempo di recuperare i dati per salvare l'azienda e, di conseguenza, tutti i lavori.

 

 

E c'era una comunicazione in questa direzione:

 

 

 

NB: Spesso, in TV o sui giornali, sentiamo critiche nei confronti dei datori di lavoro. Ma qui, notiamo che la prima preoccupazione dei dirigenti della nostra bella azienda familiare era preoccuparsi del pagamento degli stipendi dei suoi dipendenti.

 

Quella notte sono tornato molto tardi. E anche se sa che non divulgo mai le informazioni riservate, mia moglie voleva sapere almeno se fosse grave: "- Tu che trovi sempre molte soluzioni informatiche, non puoi fare nulla? - Sì, faccio il massimo ... Vedrò cosa posso fare ... Dormirò un po 'e torno indietro. " Come tutti gli altri, sapeva che l'attacco era stato molto violento e ben preparato dai pirati che sapevano cosa stavano facendo. Prima dovevamo rimettere in ordine la società e poi, in una seconda fase, analizzare le tracce per identificare l'origine dell'attacco.


Il giorno dopo, sono tornato alla "guerra", con l'incoraggiamento di mia moglie che mi ha chiesto di fare tutto il possibile, e persino l'impossibile. I giorni furono lunghi: iniziarono la mattina presto e finirono tardi, spesso nel mezzo della notte.

Sulla via del ritorno a casa: "cammina" in città, nel cuore della notte ... i giorni erano lunghi!

 

Per compensare un po 'di affaticamento, avevi bisogno di diverse buone dosi di caffè o tè ...

 

 

Tutto il team IT si è mobilitato spontaneamente: gli amministratori l'amministratore (quello sono io, perché l'altro amministratore si era dimesso qualche settimana prima), i tecnici, gli sviluppatori e i colleghi di la cartografia e persino un fornitore IT esterno ... Tutti hanno partecipato alla battaglia ... persino il DSI (Information System Manager). Abbiamo lavorato così tanto insieme, lui e io, giorno e notte, che durante questo periodo, ho trascorso più tempo con lui che con mia moglie ;-)


Mentre mi occupavo di server virtuali con DSI, i colleghi hanno scannerizzato tutte le macchine fisiche degli utenti con una chiavetta USB contenente SOPHOS, un programma software in grado di rilevare uno dei programmi di rumore identificato (ZEUS).

 

 

 

Il server di backup che si trovava sul sito PRA è stato segnalato alla sede centrale dell'azienda e messo nella sala server per ottenere tutto ciò che potevamo. Perché i pirati si erano preparati bene. E hanno aspettato fino alla fine delle operazioni di backup automatico per poi quasi distruggere tutto: backup locali, backup remoti e persino repliche di server virtuali. È stato scioccante, soprattutto perché altre compagnie sono state attaccate nella stessa notte e oggi sappiamo che alcune di loro non si sono riprese.


Come misura di sicurezza, non posso entrare in troppi dettagli e divulgare informazioni sensibili. Tuttavia, posso condividere alcune informazioni che potrebbero essere utili ad altre società.


Pertanto, senza specificare in che modo sono entrati gli hacker (anche se non mi preoccupo), posso dire che hanno utilizzato diversi programmi tra cui mimikatz, un programma che Benjamin Delpy (aka Gentil Kiwi), capo del Centro di ricerca e Lo sviluppo in sicurezza della Banca di Francia (secondo i diversi articoli a riguardo), avrebbe creato "per imparare la lingua C e fare alcuni esperimenti con la sicurezza di Windows".


Quindi, un cosiddetto sviluppatore "dilettante" avrebbe trovato diversi importanti difetti di sicurezza in Windows, il sistema operativo più utilizzato al mondo! Solo questo, è già notevole! Inoltre, il simpatico programmatore amatoriale ("Gentil Kiwi") avrebbe "la gentilezza" di condividere le sue scoperte distribuendo liberamente i codici sorgente dei suoi programmi su Internet ... dal 2007! E questi programmi sarebbero ancora virulenti oggi, nel 2019, sui recenti sistemi Windows, potenzialmente compromettendo, a livello globale, il buon funzionamento di molte aziende o enti pubblici, tra cui, ad esempio, gli ospedali (vedi elenco non esaustivo alla fine dell'articolo). È uno scherzo? Ma no ... Questa non è una "notizia falsa", se devi credere a ciò che è menzionato sul sito dell'autore, che espone i suddetti difetti di sicurezza e indica anche le istruzioni per l'uso. i suoi programmi:

 

Plus on partage, plus on possède. Voilà le miracle ! (Leonard Nimoy)

 

Le blog de Gentil Kiwi

 

"Rendu public en 2007"... et toujours fonctionnel en 2019, sur les version récentes de Windows !... Please, Micro$oft... Wake up !

 

"mimikatz is a tool I've made to learn C and make somes experiments with Windows security." (gentilkiwi)

 

Infatti, inizialmente, con Mimikatz, Benjamin Delpy voleva dimostrare la vulnerabilità dei protocolli di autenticazione di Microsoft. Quindi, ha ampliato il suo "pacchetto" ... che è stato recuperato dai pirati. Le rivelazioni di "Kind Kiwi" sono sbalorditive e il suo lavoro è notevole. Tuttavia, ci si potrebbe chiedere dell'opportunità di distribuire questo tipo di software su Internet, inoltre liberamente accessibili, quindi in balia di persone senza scrupoli che, come i pirati del mondo digitale, li usano per cercare di estrarre soldi per "rapimento" di dati. Mimikatz è particolarmente interessante da un punto di vista didattico e, se dovessimo credere allo stesso signor Delpy, nel frattempo Microsoft avrebbe protetto il suo sistema. È difficile da credere quando sappiamo che i nostri server sono stati vulnerabili, di recente, anche se godono degli ultimi aggiornamenti di Microsoft.


E, a casa, gli hacker si sono occupati di cancellare la maggior parte delle loro tracce nei registri dei nostri server Windows. Ma non abbiamo trovato molti indizi durante le analisi:

 

une trace mimikatz

 

quelques programmes utilisés par les pirates (mimilove fait partie du package "mimikatz")

 

les mots de passe décodés par les pirates : ils ne sont plus d'actualité dans notre entreprise ;-)

 

 

Mimikats consente di rivelare tutte le password. E, con un "amministratore" di password, gli hacker hanno fatto ciò che volevano, senza preoccuparsi, nemmeno dal nostro server antivirus che hanno neutralizzato. Le "forze oscure" hanno fatto molti danni quella notte. Ma abbiamo affrontato.


A tutti gli effetti, specifica che queste password non sono più utilizzate nella nostra azienda (di cui non parlerò il nome, per eccesso di sicurezza). Inoltre, il DSI mi ha incaricato di controllare tutte le regole dei nostri firewall. La sicurezza è stata rafforzata: alcune vecchie regole (che erano lì anche prima del mio arrivo in azienda) sono state modificate o rimosse. Il nuovo Manager, che entrerà in carica a giugno, sarà probabilmente più ricettivo quando segnalerò un problema di sicurezza da ora in poi (migliore gestione dei file delle password, diritti di accesso più limitati, ecc ...).


Durante questo periodo, la nostra sala server, che di solito è molto ordinata, era diventata un campo di battaglia. Abbiamo recuperato tutto ciò che era possibile ripristinare nei dischi per ricostruire i nostri server (dati, account, libro paga, ecc.) Dai pochi elementi rimanenti, tra cui "istantanee" (tipo di backup per macchine virtuali) che può aiutare a ricostruire i server. E, a poco a poco, abbiamo recuperato molto, incluso il server di dati principale (DATA) che era stato dichiarato "completamente irrecuperabile" dai fornitori specializzati. Tuttavia, ho notato un'incoerenza in vSphere (gestore di VmWare): per questo server, il gestore ha indicato che non era presente alcuna istantanea. Ma, curiosamente, ha proposto di "eliminare tutte le istantanee". Quindi, per rimuovere i dubbi, abbiamo effettuato una connessione di basso livello (SSH, connessione diretta senza passare attraverso vSphere) sul server fisico Veeam che conteneva backup cancellati dagli hacker. E abbiamo trovato un'istantanea di questo server ... il Santo Graal, quasi ... Alleluia!

 

 

Il a été heureux de faire cette vérification qui a permis de récupérer cet important serveur virtuel DATA car, après la nécessaire remise à neuf du serveur physique "Veeam" (réinstallation complète de la machine et du système de sauvegarde), on n'aurait rien pu récupérer. Pour bien comprendre ce qui s'est passé, il faut savoir que Veeam fait automatiquement, avant la sauvegarde, un snapshot de chacune des machines virtuelles à sauvegarder. Ce snapshot est supprimé automatiquement par Veeam à la fin de la sauvegarde. Comme les pirates ont détruit le serveur Veeam immédiatement après la sauvegarde, le snapshot n'a pas pu être supprimé par Veeam. Et nous l'avons récupéré. Si votre entreprise est attaquée, pensez à faire ce contrôle qui pourrait vous permettre de récupérer quelques éléments.


Et, après avoir vérifié que le serveur DATA était sauvé et que toutes les données étaient récupérables (non cryptées), j'ai pu annoncer la bonne nouvelle aux salariés ainsi qu'aux membres de la Direction, qui m'avaient questionné quelques jours auparavant. :

 

 

 

Ascoltando questa buona notizia, tutti sono stati sollevati e abbiamo ricevuto diversi messaggi (fa molto piacere):

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Queste testimonianze di soddisfazione sono già state una grande ricompensa. E non era tutto! In effetti, fu preparata una festa in onore della squadra di computer, che trionfò sui cattivi pirati. Abbiamo festeggiato!

 

 

Inoltre, la direzione ha invitato l'intero team a pranzo in un rinomato ristorante gourmet. Ancora una volta, è stato delizioso!

 

 

... Con una lettera di ringraziamento da parte della direzione, oltre al bonus. È un piacere lavorare per leader riconoscenti.

 

Chaleureux remerciements de la Direction de notre belle entreprise familaile, à dimension internationale

 

Questa esperienza ha dimostrato che non si è mai cauti: qualunque sia il livello di sicurezza, ci sono sempre parassiti che tentano di penetrare nei sistemi. Ma, se è vero che "ciò che non uccide ti rende più forte", da quell'esperienza uscirà qualcosa di buono. E la nostra azienda vive ancora ... e dà vita ai suoi numerosi dipendenti.


Quindi, se la tua attività è sotto attacco, non mollare. Lascia che i tuoi esperti di computer ... che tu abbia rigorosamente selezionato ... in modo proattivo. E sapere come tenerli!

 

Colgo l'occasione per salutare, ancora una volta, la reattività dei due tecnici, aspiranti registi, che, per la loro autonomia e disponibilità, mi permettono di concentrarmi sulle operazioni più delicate, ogni volta che necessario. E questa costante vigilanza del team di rete, così come la sua reattività, consentono all'azienda di affrontare qualsiasi minaccia informatica, come è stato dimostrato durante questo violento e terribile attacco informatico che l'azienda ha subito, ma senza sequele. Finché dura!

 

JM + MP + TS = Semper fidelis, Semper paratus

 

Ecco alcuni articoli di notizie sugli attacchi informatici subiti da altre società:

 

Alcune citazioni divertenti:

  • Règle informatique n°1 : Si tout va bien, ne touchez à rien !
  • L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai...
  • Article 1 : Le chef a toujours raison. Article 2 : Si le chef a tort, appliquer l'article 1.
  • Nos clients sont nos meilleurs beta testeur. (Microsoft ?)
  • Si les ouvriers construisaient les bâtiments comme les développeurs écrivent leurs programmes, le premier pivert venu aurait détruit toute civilisation (Gerald Weinberg)
  • Aujourd’hui, la programmation est devenue une course entre le développeur, qui s’efforce de produire de meilleures applications à l’épreuve des imbéciles et l’univers, qui s’efforce de produire de meilleurs imbéciles. Pour l’instant, l’univers a une bonne longueur d’avance (Rich Cook)
  • Si on peut utiliser l'Iphone 5 d'une seule main, c'est parce qu'il coûte déjà l'autre bras.
  • To do : Créer un navigateur et l’appeler Christophe Colomb.
  • No keyboard present, press F1 to resume...
  • Computers are like air conditioners - They stop working properly when you open Windows.
  •  A bus station is where bus stops... a train station is where train stops... My computer is a workstation...
  • Un PC devient lent et difficile à utiliser dès que celui d’un des autres employés du service a été remplacé par un neuf.
  • Grâce à l’ordinateur, on peut faire plus rapidement des choses qu’on n’aurait pas eu besoin de faire sans ordinateur.
  • Un disque dur qui foire, ça n’arrive jamais, sauf quand ça arrive...
  • La probabilité d’un crash du disque dur augmente de manière exponentielle avec l’âge de la dernière sauvegarde complète.
  • Le bug se trouve parfois entre la chaise et le clavier.
  • L'homme est toujours l'ordinateur le plus extraordinaire de tous. (John F. Kennedy)
  • Une entreprise dans laquelle il n'y a pas d'ordre est incapable de survivre ; mais une entreprise sans désordre est incapable d'évoluer. (Bernard Nadoulek)
  • Le vrai courage ne se laisse jamais abattre. (Fénelon/Télémaque)
  • L’intégrité est une composante essentielle de la sécurité. Et pas seulement en informatique ! (Didier Hallépée)
  • En informatique, la miniaturisation augmente la puissance de calcul. On peut être plus petit et plus intelligent. (Bernard Werber)
  • Avec une montre, on connaît l'heure. Avec deux, on est jamais sûr (Murphy)
  • Dans toute organisation, il y a toujours une personne qui sait ce qui se passe. Elle doit être virée. (Murphy)
  • Celui qui sourit lorsque les choses vont mal, a déjà pensé à celui qui portera le chapeau. (Murphy)
  • Quel que soit le nombre de preuves démontrant la fausseté d'une chose, il se trouve toujours quelqu'un pour croire qu'elle est vraie. (Murphy)
  • Faire du mal me serait trop pénible, j'aime bien mieux le supporter. (Jean Frain du Tremblay)
  • Spéciale dédicace à Molon/Gioria/Klein : La justice de Dieu est sans appel. Les forces du mal n'ont pas d'avenir. La vérité triomphe toujours.
  • Dieu récompensera la vertu et punira le vice, dans ce monde ou dans l'autre. (Benjamin Franklin)
  • Quand on fait le mal, c'est en vain que l'on brûle de l'encens et qu'on offre des sacrifices. (Kao-Tong-Kia)
  • En un mot, contrairement à bien des humains qui sont malfaisants, si les bêtes tuent, c'est pour se nourrir, et non pour le plaisir, comme le font certains hommes. (Edgar Fruitier)

 

NB: Nessuno dei nostri server Linux è stato influenzato dal cryptovirus, ovviamente ;-)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Esprit de corps

 

Je dédie cet article à toutes celles et tous ceux qui partagent les belles valeurs et, en particulier, à l'adjudant qui commandait le troisième peloton du troisième escadron du troisième régiment de Hussards lorsque j'étais sous les drapeaux, un homme droit et généreux.

Le troisième hussard, "il en vaut plus d'un" (devise du 3e RH) et "rien ne l'effraie" (devise du troisième escadron).

 

 

Les pirates ?... même pas peur ! Avec un AMX ou avec un clavier... Semper paratus, Semper fidelis

 

 

 

Commenti bloccati.