Ιρανοί χάκερ χτύπησαν το μετρό του Λος Άντζελες, κλέβοντας 700GB δεδομένων

Ιρανοί χάκερ χτύπησαν το μετρό του Λος Άντζελες, κλέβοντας 700GB δεδομένων

Μια ομάδα χάκερ που συνδέεται με το Ιράν ταυτοποιήθηκε ως υπεύθυνη για μια σημαντική παραβίαση της Μητροπολιτικής Αρχής Μεταφορών της Κομητείας του Λος Άντζελες (LACMTA), ενός από τα μεγαλύτερα συστήματα δημόσιων μεταφορών στις Ηνωμένες Πολιτείες. Η ισραηλινή εταιρεία κυβερνοασφάλειας Gambit Security απέδωσε την εισβολή σε δράστες συνδεδεμένους με το ιρανικό κράτος, οι οποίοι αφαίρεσαν τουλάχιστον 700 gigabyte δεδομένων, συμπεριλαμβανομένων email και αντιγράφων ασφαλείας συστήματος, αναγκάζοντας την υπηρεσία να προχωρήσει σε μερικές διακοπές δικτύου νωρίτερα φέτος. Το περιστατικό συγκαταλέγεται στις πιο σοβαρές περιπτώσεις παραβίασης κρίσιμων υποδομών από Ιρανούς χάκερ που έχουν εμφανιστεί στον εγχώριο δημόσιο τομέα στην πρόσφατη μνήμη.

Τι κλάπηκε από τη LACMTA και πώς εξελίχθηκε η παραβίαση

Σύμφωνα με τα ευρήματα της Gambit Security, οι επιτιθέμενοι απέσπασαν έναν σημαντικό όγκο εσωτερικών δεδομένων προτού περιοριστεί η παραβίαση. Τα 700GB που αφαιρέθηκαν φέρεται να περιλαμβάνουν αρχεία email εργαζομένων και λειτουργικά αντίγραφα ασφαλείας, δύο κατηγορίες δεδομένων που ενέχουν σημαντικό κίνδυνο όταν πέφτουν σε εχθρικά χέρια.

Τα αρχεία email συχνά περιέχουν πολύ περισσότερα από απλή αλληλογραφία ρουτίνας. Μπορεί να περιλαμβάνουν αρχεία προσωπικού, εσωτερικά έγγραφα πολιτικής, συμβάσεις με προμηθευτές, νομικές επικοινωνίες και ευαίσθητες πληροφορίες επιβατών που συλλέγονται μέσω των λειτουργιών της υπηρεσίας. Τα αντίγραφα ασφαλείας, ανάλογα με τον τρόπο διαμόρφωσής τους, ενδέχεται να περιέχουν διαπιστευτήρια συστήματος, στιγμιότυπα βάσεων δεδομένων και αρχεία ρυθμίσεων που θα μπορούσαν να επαναχρησιμοποιηθούν για μελλοντικές εισβολές.

Η παραβίαση ήταν αρκετά σοβαρή ώστε να προκαλέσει μερικές διακοπές λειτουργίας του δικτύου, μια αντίδραση που δείχνει ότι η υπηρεσία αναγνώρισε την ενεργή παραβίαση και κινήθηκε για να περιορίσει τη ζημιά. Ωστόσο, οι διακοπές επιβεβαιώνουν επίσης ότι οι επιτιθέμενοι είχαν ήδη αποκτήσει ουσιαστική πρόσβαση πριν από τον εντοπισμό.

Γιατί τα δίκτυα δημόσιων συγκοινωνιών είναι εύκολος στόχος για κρατικά υποστηριζόμενους χάκερ

Οι οργανισμοί δημόσιων συγκοινωνιών βρίσκονται σε δυσάρεστη θέση στο οικοσύστημα της κυβερνοασφάλειας. Διαχειρίζονται υποδομές κλίμακας μεσαίας επιχείρησης, αλλά συχνά λειτουργούν με τους οικονομικούς περιορισμούς και την υποστελέχωση ενός δημοτικού τμήματος. Παλαιά συστήματα που κατασκευάστηκαν πριν υπάρξουν τα σύγχρονα μοντέλα απειλών συνυπάρχουν με νεότερες πλατφόρμες ψηφιακών εισιτηρίων, λογισμικό λειτουργίας σε πραγματικό χρόνο και εργαλεία επικοινωνίας εργαζομένων, δημιουργώντας ένα μωσαϊκό επιπέδων ασφάλειας που είναι δύσκολο να αμυνθεί ομοιόμορφα.

Οι δράστες που συνδέονται με το ιρανικό κράτος έχουν επιδείξει ένα σαφές μοτίβο στόχευσης ακριβώς τέτοιων οργανισμών. Αντί να επιτίθενται απευθείας σε βαριά οχυρωμένα ομοσπονδιακά δίκτυα, επικεντρώνονται ολοένα και περισσότερο σε οργανισμούς του δημόσιου τομέα, επιχειρήσεις κοινής ωφέλειας και συστήματα μεταφορών όπου η άμυνα είναι πιο αδύναμη και το δυναμικό διατάραξης υψηλό. Η CISA και το FBI έχουν επανειλημμένα προειδοποιήσει ότι ιρανικές ομάδες χάκερ ερευνούν ενεργά ευπάθειες στους κρίσιμους τομείς υποδομών των ΗΠΑ, συμπεριλαμβανομένων των μεταφορών.

Για τους ξένους δράστες απειλών, μια επιτυχημένη παραβίαση μιας μεγάλης αρχής μεταφορών εξυπηρετεί πολλαπλούς σκοπούς. Αποφέρει δυνητικά εκμεταλλεύσιμα δεδομένα, επιδεικνύει ικανότητες και προκαλεί δημόσια αναστάτωση με σχετικά μικρή επένδυση σε σύγκριση με την επίθεση σε έναν οχυρωμένο στρατιωτικό ή υπηρεσιακό στόχο πληροφοριών.

Τι σημαίνουν 700GB email και αντιγράφων ασφαλείας για τα επηρεαζόμενα άτομα

Για τους εργαζομένους της LACMTA, ο άμεσος κίνδυνος είναι η έκθεση προσωπικών και επαγγελματικών πληροφοριών που ήταν αποθηκευμένες ή μεταδόθηκαν μέσω των συστημάτων της υπηρεσίας. Τα email από παραβιασμένα αρχεία θα μπορούσαν να περιέχουν αριθμούς κοινωνικής ασφάλισης, στοιχεία άμεσης κατάθεσης, εκθέσεις απόδοσης ή επικοινωνίες σχετικές με την υγεία, ανάλογα με το πώς το προσωπικό χρησιμοποιούσε το εσωτερικό email για θέματα ανθρώπινου δυναμικού.

Για τους επιβάτες, ο κίνδυνος εξαρτάται από το ποια δεδομένα συνέλεγε και διατηρούσε η αρχή μεταφορών και αν κάποια από αυτά βρέθηκαν στα παραβιασμένα αντίγραφα ασφαλείας. Συστήματα ανέπαφων πληρωμών, ιστορικό διαδρομών συνδεδεμένο με λογαριασμούς και τυχόν αποθηκευμένα προσωπικά αναγνωριστικά που χρησιμοποιούνται για προγράμματα μειωμένου εισιτηρίου ή υπηρεσίες προσβασιμότητας είναι όλοι εύλογοι τύποι δεδομένων που θα μπορούσαν να υπάρχουν.

Αξίζει να σημειωθεί ότι το εύρος των δεδομένων που αφαιρέθηκαν εξακολουθεί να αξιολογείται. Ο αριθμός των 700GB αντιπροσωπεύει ένα επιβεβαιωμένο ελάχιστο και όχι απαραίτητα ανώτατο όριο. Η απόδοση σε έναν κρατικά συνδεδεμένο δράστη εγείρει επίσης ερωτήματα σχετικά με το αν τα δεδομένα θα αξιοποιηθούν για οικονομικό όφελος, θα χρησιμοποιηθούν για συλλογή πληροφοριών ή θα κρατηθούν σε εφεδρεία για μελλοντική μόχλευση.

Αυτή η υπόθεση είναι μια υπενθύμιση ότι ακόμη και εξέχοντες οργανισμοί με δημόσια λογοδοσία δεν είναι άτρωτοι. Όπως έδειξε η παραβίαση του email του ίδιου του Διευθυντή του FBI, το υψηλό προφίλ δεν σημαίνει υψηλή ασφάλεια. Αν ο επικεφαλής της κορυφαίας ομοσπονδιακής υπηρεσίας επιβολής του νόμου της χώρας μπορεί να πέσει θύμα παραβίασης email, το χάσμα μεταξύ αντίληψης και πραγματικότητας σε μια αρχή μεταφορών γίνεται ακόμη πιο έντονο.

Πώς κυβερνητικοί και δημόσιοι φορείς πρέπει να θωρακίσουν τις ευαίσθητες επικοινωνίες

Η παραβίαση της LACMTA προσφέρει μια ξεκάθαρη μελέτη περίπτωσης για τους κινδύνους της υποεπένδυσης σε βασικούς ελέγχους ασφαλείας. Αρκετές πρακτικές, αν εφαρμοστούν συστηματικά, μειώνουν σημαντικά τόσο την πιθανότητα επιτυχούς εισβολής όσο και τη ζημιά που προκαλείται όταν συμβεί.

Η ασφάλεια του email είναι μια λογική αφετηρία. Τα σύγχρονα περιβάλλοντα email θα πρέπει να επιβάλλουν έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλους τους λογαριασμούς, να εφαρμόζουν αρχές πρόσβασης μηδενικής εμπιστοσύνης και να χρησιμοποιούν πύλες ασφαλείας email ικανές να ανιχνεύουν ασυνήθιστη δραστηριότητα μαζικής εξαγωγής δεδομένων. Οι πρακτικές αρχειοθέτησης θα πρέπει επίσης να επανεξεταστούν: η διατήρηση ετών αφιλτράριστου email σε προσβάσιμα συστήματα δημιουργεί έναν πλούσιο στόχο που γίνεται πιο πολύτιμος με την πάροδο του χρόνου.

Η ασφάλεια των αντιγράφων ασφαλείας αξίζει εξίσου προσοχή. Τα αντίγραφα ασφαλείας πρέπει να αποθηκεύονται σε διαχωρισμένα περιβάλλοντα με αυστηρούς ελέγχους πρόσβασης, ιδανικά ακολουθώντας ένα μοντέλο εκτός σύνδεσης ή αεραγωγού για τα πιο ευαίσθητα στιγμιότυπα. Η τακτική δοκιμή της ακεραιότητας των αντιγράφων ασφαλείας θα πρέπει να συνδυάζεται με παρακολούθηση για μη εξουσιοδοτημένες προσπάθειες πρόσβασης.

Η τμηματοποίηση δικτύου, η συνεχής παρακολούθηση και ο σχεδιασμός απόκρισης σε περιστατικά συμπληρώνουν τη βασική γραμμή. Οι φορείς που βασίζονται ακόμη σε μοντέλα ασφάλειας περιμέτρου, όπου όλα όσα βρίσκονται εντός του δικτύου θεωρούνται σιωπηρά αξιόπιστα, λειτουργούν με μια θεμελιώδη αρχιτεκτονική ευπάθεια που οι κρατικά υποστηριζόμενοι δράστες γνωρίζουν πώς να εκμεταλλευτούν.

Τι σημαίνει αυτό για εσάς

Αν ζείτε ή εργάζεστε στην Κομητεία του Λος Άντζελες και έχετε αλληλεπιδράσει με τα συστήματα της LACMTA, το πιο άμεσο βήμα είναι να παρακολουθείτε τους οικονομικούς σας λογαριασμούς και τις πιστωτικές αναφορές σας για ασυνήθιστη δραστηριότητα. Αν η υπηρεσία επικοινωνήσει μαζί σας σχετικά με την παραβίαση, λάβετε σοβαρά υπόψη κάθε ειδοποίηση και ακολουθήστε τις οδηγίες για προστατευτικά μέτρα όπως ειδοποιήσεις απάτης ή δεσμεύσεις πίστωσης.

Ευρύτερα, αυτό το περιστατικό ενισχύει μια αρχή που ισχύει πολύ πέρα από το Λος Άντζελες: κανένας οργανισμός δεν είναι πολύ εξέχων, πολύ μεγάλος ή πολύ δημόσιος για να αποτελέσει στόχο. Η παραβίαση κρίσιμων υποδομών της LACMTA από Ιρανούς χάκερ ακολουθεί ένα τεκμηριωμένο μοτίβο ξένων δρώντων που στοχεύουν τους οργανισμούς που είναι λιγότερο εξοπλισμένοι για να αμυνθούν.

Για τους εργαζομένους σε οποιονδήποτε δημόσιο φορέα, αντιμετωπίστε το επαγγελματικό σας email με την ίδια προσοχή που θα εφαρμόζατε σε ευαίσθητους προσωπικούς λογαριασμούς. Αποφύγετε να το χρησιμοποιείτε για οτιδήποτε δεν θα θέλατε να αποκαλυφθεί, ενεργοποιήστε κάθε διαθέσιμο χαρακτηριστικό ασφαλείας και αναφέρετε οτιδήποτε ασυνήθιστο στο τμήμα πληροφορικής σας χωρίς καθυστέρηση. Η παραβίαση στο Λος Άντζελες είναι μια υπενθύμιση ότι οι συνέπειες της χαλαρής ψηφιακής υγιεινής εκτείνονται πολύ πέρα από το inbox ενός μεμονωμένου ατόμου.