Posted by MinO | 0 comments

Κυβερνοεπίθεση στο δημοτικό δίκτυο τρένων του San Francisco


Την περασμένη εβδομάδα, hackers επιτέθηκαν στο δημοτικό δίκτυο σιδηροδρόμων του San Fransisco κρυπτογραφώντας αρκετούς υπολογιστές. Η επίθεση είχε σαν αποτέλεσμα τα μηχανήματα εκδόσεως εισιτηρίων να μην ζητάνε χρήματα και να αναγράφουν "out of service" με τους hacker να ζητάνε 70.000 δολάρια σε bitcoin.

Απο ότι φαίνεται όμως σύμφωνα με μια λίστα server που έχει στα χέρια του το Gizmodo η ζημιά είναι αρκετά μεγαλύτερη για την δημοτική εταιρία μεταφορών.
Η λίστα περιλαμβάνει 2,212 εξυπηρετητές που ίσως αποκτήσανε πρόσβαση οι χακερς, ενώ σύμφωνα με αναφορές οι hackers απειλούν έχοντας στον έλεγχο τους κοντά στα 30GB εσωτερικών δεδομένων απο διάφορους εξυπηρετητές αλληλογραφίας, Domain controllers, μισθοδοσίας αλλά και των χρηματοοικονομικών της εταιρίας.

Το Σαββάτο οι υπολογιστές στους σταθμούς του μετρο είχαν στην οθόνη τους μόνο το μήνυμα

“You Hacked. ALL Data Encrypted. Contact For Key( ,Enter Key:”
Ένας αναλυτής ασφαλείας ο Mike Grover, έκανε μια επαφή με αυτό το email -οι hackers θεώρησαν οτι ήταν εργαζόμενος στο Μετρό και οτι προσπαθούσε να έρθει σε συμφωνία για να αποκτήσουν ξανά πρόσβαση στους υπολογιστές τους.
Αυτό είναι το μήνυμα που έλαβε.

if You are Responsible in MUNI-RAILWAY !
All Your Computer’s/Server’s in MUNI-RAILWAY Domain Encrypted By AES 2048Bit!
We have 2000 Decryption Key !
Send 100BTC to My Bitcoin Wallet , then We Send you Decryption key For Your All Server’s HDD!!
We Only Accept Bitcoin , it’s So easy!
you can use Brokers to exchange your money to BTC ASAP

it’s Fast way! 
Στην λίστα των εξυπηρετητών υπήρχαν και ονόματα όπως GPOADMIN και GPOADMIN2, (το GPO σημαίνει Group policy object), είναι ένα εργαλείο για τους διαχειριστές δικτύων που τους επιτρέπει τον πλήρη έλεγχο του δικτύου, μια απο τις δυνατότητες είναι και η εγκατάσταση προγραμμάτων στους υπολογιστές πελάτες.
Αν οι χακερς αποκτήσανε πρόσβαση σε αυτούς τους εξυπηρετητές τότε τους ήταν πολύ εύκολο να εγκαταστήσουν το ransomware σε όλους τους υπολογιστές του δικτύου.

Την Κυριακή η εταιρία κατάφερε να "καθαρίσει" κάποιους απο τους εξυπηρετητές έτσι ώστε να δουλέψουν ξανά τα μηχανήματα εισιτηρίων, αυτό όμως νευρίασε τους χάκερς που απειλήσανε ότι θα δημοσιεύσουν τα 30GB των δεδομένων σύμφωνα με ενα μήνυμα που στείλανε στους δημοσιογράφους :

San Francisco People ride for free two days ! welcome !

But if ugly hacker’s attack to Operational Railways System’s , whats’ happen to You?

Anyone See Something like that in Hollywood Movies But it’s Completely Possible in Real World!

It’s Show to You and Proof of Concept , Company don’t pay Attention to Your Safety !

They give Your Money and everyday Rich more! But they don’t Pay for IT Security and using very old system’s !

We Hacked 2000 server/pc in SFMTA including all payment kiosk and internal Automation and Email and …!

We Gain Access Completely Random and Our Virus Working Automatically ! We Don’t Have Targeted Attack to them ! It’s wonderful !

If some Hacker Try to Hack Your Transportation Infrastructure Target-Based , it’s Have More Impact!

We Don’t live in USA but I hope Company Try to Fix it Correctly and We Can Advise Them But if they Don’t , We Will Publish 30G Databases and Documents include contracts , employees data , LLD Plans , customers and … to Have More Impact to Company To Force Them to do Right Job!
Αυτό το μήνυμα είναι μάλλον μια τελευταία προσπάθεια ώστε οι χάκερς να βγάλουνε κάποια χρήματα απο την εταιρία, απο την στιγμή που τα συστήματα τους δουλεύουν ξανά.

Δυστυχώς οι λεπτομέρειες για το τι και πως αποκτήσανε πρόσβαση δεν είναι ξεκάθαρες.

Αλλά είναι τρομακτικό το ότι η επίθεση έγινε σε μέσα μεταφοράς, αν οι χακερς μπορούν να αποκτήσουν πρόσβαση στους υπολογιστές καθώς και στα εκδοτήρια εισιτηρίων, πόσο μακριά είναι από το να αποκτήσουν πρόσβαση στο σύστημα έλεγχου κυκλοφορίας των τρένων;