Iranilaiset hakkerit iskivät LA Metroon ja varastivat 700 Gt dataa

Iranilaiset hakkerit iskivät LA Metroon ja varastivat 700 Gt dataa

Iranilaiseen kytköksissä oleva hakkeriryhmä on tunnistettu Los Angelesin piirikunnan metropolin liikennelaitokseen (LACMTA) kohdistuneen merkittävän tietomurron tekijäksi. LACMTA on yksi Yhdysvaltojen suurimmista julkisen liikenteen järjestelmistä. Israelilainen kyberturvayritys Gambit Security jäljitti tunkeutumisen Iranin valtiollisiin toimijoihin, jotka veivät ainakin 700 gigatavua dataa, mukaan lukien sähköposteja ja järjestelmän varmuuskopioita, mikä pakotti viraston osittaisiin verkkosulkuihin aiemmin tänä vuonna. Tapaus on yksi merkittävimmistä iranilaisten hakkereiden kriittiseen infrastruktuuriin kohdistuneista tietomurroista, joita on tullut ilmi kotimaisella julkisella sektorilla viime aikoina.

Mitä LACMTA:lta varastettiin ja miten tietomurto eteni

Gambit Securityn havaintojen mukaan hyökkääjät veivät mukanaan huomattavan määrän sisäistä dataa ennen kuin murto saatiin hallintaan. 700 gigatavun saaliin kerrotaan sisältäneen työntekijöiden sähköpostiarkistoja ja toiminnallisia varmuuskopioita – kaksi dataluokkaa, joihin liittyy merkittäviä riskejä, kun ne päätyvät vihamielisiin käsiin.

Sähköpostiarkistot sisältävät usein paljon muutakin kuin rutiininomaista kirjeenvaihtoa. Niissä voi olla henkilöstöasiakirjoja, sisäisiä toimintaohjeita, toimittajasopimuksia, oikeudellista viestintää ja matkustajiin liittyvää arkaluonteista tietoa, jota kerätään palvelutoiminnan yhteydessä. Varmuuskopiot voivat puolestaan sisältää konfigurointitavasta riippuen järjestelmätunnuksia, tietokantanäköistiedostoja ja konfigurointitiedostoja, joita voidaan käyttää helpottamaan tulevia tunkeutumisia.

Tietomurto oli niin vakava, että se laukaisi osittaisia verkkosulkuja – toimenpide, joka kertoo, että virasto tunnisti aktiivisen tietoturvahäiriön ja pyrki rajoittamaan vahinkoja. Verkkosulut kuitenkin vahvistavat samalla, että hyökkääjät olivat jo saavuttaneet merkittävän pääsyn ennen havaitsemista.

Miksi julkisen liikenteen verkot ovat helppo kohde valtiollisille hakkereille

Julkisen liikenteen virastot ovat kyberturvallisuuden ekosysteemissä epämukavassa asemassa. Ne hallinnoivat infrastruktuuria, joka vastaa mittakaavaltaan keskisuurta yritystä, mutta ne toimivat usein kuntatason osaston budjetti- ja henkilöstörajoitteilla. Vanhat, ennen nykyaikaisia uhkamalleja rakennetut järjestelmät toimivat rinnakkain uudempien digitaalisten lipunmyyntialustojen, reaaliaikaisen toiminnanohjelmiston ja henkilöstön viestintävälineiden kanssa, luoden tilkkutäkkimäisen kirjon tietoturvan tasoja, joita on vaikea puolustaa yhdenmukaisesti.

Iranin valtiolliset toimijat ovat osoittaneet selkeän kaavan kohdistamalla iskuja juuri tämäntyyppisiin laitoksiin. He eivät yritä murtaa suoraan raskaasti linnoitettuja liittovaltion verkkoja, vaan ovat yhä useammin keskittyneet julkisen sektorin organisaatioihin, yleishyödyllisiin laitoksiin ja liikennejärjestelmiin, joissa puolustukset ovat ohuempia ja häiriön mahdollisuus on suuri. CISA ja FBI ovat toistuvasti varoittaneet, että iranilaiset hakkeriryhmät kartoittavat aktiivisesti haavoittuvuuksia Yhdysvaltojen kriittisen infrastruktuurin sektoreilla, mukaan lukien liikenne.

Ulkomaisille uhkatoimijoille onnistunut tunkeutuminen suureen liikennelaitokseen palvelee useita tarkoituksia. Se tuottaa mahdollisesti hyödynnettävää dataa, osoittaa kyvykkyyttä ja aiheuttaa julkista häiriötä suhteellisen pienin panostuksin verrattuna lujasti suojattuun sotilas- tai tiedustelukohteeseen hyökkäämiseen.

Mitä 700 Gt sähköposteja ja varmuuskopioita merkitsee osallisille henkilöille

LACMTA:n työntekijöille välittömin huoli on viraston järjestelmiin tallennetun tai niiden kautta kulkevan henkilö- ja ammattitiedon paljastuminen. Murretuista sähköpostiarkistoista saatavat viestit voivat sisältää sosiaaliturvatunnuksia, palkkatilejä koskevia tietoja, suoritusarvioita tai terveyteen liittyvää kirjeenvaihtoa sen mukaan, miten henkilöstö on käyttänyt sisäistä sähköpostia HR-asioissa.

Matkustajien riski riippuu siitä, mitä tietoa liikennelaitos keräsi ja säilytti, ja päätyikö mitään siitä murrettuihin varmuuskopioihin. Lähimaksujärjestelmien tiedot, tileihin sidotut matkahistoriat ja mahdolliset alennusohjelmissa tai esteettömyyspalveluissa käytetyt tallennetut henkilötunnisteet ovat kaikki uskottavia tietotyyppejä, joita saattaa olla mukana.

Huomionarvoista on, että vietyjen tietojen laajuutta arvioidaan edelleen. 700 Gt on vahvistettu vähimmäismäärä, ei välttämättä katto. Se, että isku on liitetty valtiolliseen toimijaan, herättää myös kysymyksiä siitä, käytetäänkö dataa taloudellisen hyödyn tavoitteluun, tiedustelutiedon keräämiseen vai pidetäänkö sitä reservissä myöhempää painostusta varten.

Tämä tapaus on muistutus siitä, etteivät edes julkisesti tilivelvolliset ja näkyvät instituutiot ole immuuneja. Kuten FBI:n johtajan oma sähköpostitietomurto osoitti, korkea profiili ei tarkoita korkeaa turvallisuustasoa. Jos maan tärkeimmän lainvalvontaviraston johtaja voi kokea sähköpostitunnustensa vaarantumisen, kuilu mielikuvien ja todellisuuden välillä liikennelaitoksessa käy vielä räikeämmäksi.

Miten hallinnon ja julkisten virastojen tulisi vahvistaa arkaluonteista viestintää

LACMTA:n tietomurto tarjoaa selkeän tapaustutkimuksen riskeistä, jotka liittyvät perustavanlaatuisten tietoturvakontrollien aliresursointiin. Useat käytännöt, kun ne toteutetaan järjestelmällisesti, vähentävät merkittävästi sekä onnistuneen tunkeutumisen todennäköisyyttä että tapahtuneen vahingon laajuutta.

Sähköpostitietoturva on looginen lähtökohta. Nykyaikaisissa sähköpostiympäristöissä tulisi ottaa käyttöön monivaiheinen tunnistautuminen kaikille tileille, soveltaa nollaluottamuksen periaatteita pääsyssä ja käyttää sähköpostin tietoturvayhdyskäytäviä, jotka kykenevät havaitsemaan epätavallista massatiedostojen ulosvientiä. Myös arkistointikäytännöt tulisi tarkastaa: vuosien suodattamattomien sähköpostien säilyttäminen helposti saavutettavissa järjestelmissä luo houkuttelevan kohteen, jonka arvo kasvaa ajan myötä.

Varmuuskopiotietoturva ansaitsee yhtä lailla huomiota. Varmuuskopiot tulisi tallentaa aidattuihin ympäristöihin, joissa on tiukat pääsynvalvonnat, ja kaikkein arkaluonteisimpien näköistiedostojen osalta noudattaa mieluiten off-line- tai ilmaraollista mallia. Varmuuskopioiden eheyden säännöllinen testaus tulisi yhdistää luvattomien käyttöyritysten seurantaan.

Verkon segmentointi, jatkuva valvonta ja häiriötilannesuunnittelu täydentävät perustan. Virastot, jotka yhä luottavat perinteisiin reunapohjaisiin tietoturvamalleihin, joissa kaikkeen verkon sisäpuolella luotetaan oletusarvoisesti, toimivat perustavanlaatuisella arkkitehtonisella haavoittuvuudella, jota valtiolliset toimijat osaavat hyödyntää.

Mitä tämä tarkoittaa sinulle

Jos asut tai työskentelet Los Angelesin piirikunnassa ja olet ollut tekemisissä LACMTA:n järjestelmien kanssa, välittömin toimenpide on seurata pankkitiliesi ja luottotietojesi tapahtumia epätavallisen toiminnan varalta. Jos virasto ottaa sinuun yhteyttä tietomurrosta, ota kaikki ilmoitukset vakavasti ja noudata suojatoimia koskevia ohjeita, kuten petosvaroituksia tai luottotietojen jäädytyksiä.

Laajemmin tämä tapaus vahvistaa periaatteen, joka pätee kauas Los Angelesin ulkopuolelle: mikään instituutio ei ole liian näkyvä, liian suuri tai liian yleishyödyllinen ollakseen kohde. Iranilaisten hakkereiden kriittiseen infrastruktuuriin kohdistama tietomurto LACMTA:han noudattaa dokumentoitua kaavaa, jossa ulkomaiset toimijat iskevät niihin organisaatioihin, joilla on heikoimmat edellytykset puolustautua.

Kaikkien julkishallinnon virastojen työntekijöiden tulisi kohdella työsähköpostiaan samalla varovaisuudella kuin arkaluonteisia henkilökohtaisia tilejään. Vältä sen käyttöä mihinkään, jota et haluaisi paljastuvan, ota käyttöön kaikki käytettävissä olevat tietoturvaominaisuudet ja ilmoita kaikesta poikkeavasta viipymättä IT-osastollesi. Tietomurto Los Angelesissa on muistutus siitä, että huonon digitaalisen hygienian seuraukset ulottuvat paljon yksittäisen henkilön sähköpostilaatikkoa laajemmalle.