Iranski hakeri napali metro u Los Angelesu, ukrali 700 GB podataka

Iranski hakeri napali metro u Los Angelesu, ukrali 700 GB podataka

Iranska hakerska skupina identificirana je kao odgovorna za značajan proboj u sustav Prometne uprave okruga Los Angeles (LACMTA), jedne od najvećih javnih prijevoznih mreža u Sjedinjenim Državama. Izraelska tvrtka za kibernetičku sigurnost Gambit Security pripisala je upad iranskim akterima povezanima s državom koji su izvukli najmanje 700 gigabajta podataka, uključujući e-poštu i sigurnosne kopije sustava, što je ranije ove godine prisililo agenciju na djelomično gašenje mreže. Ovaj incident jedan je od najznačajnijih slučajeva proboja iranskih hakera u kritičnu infrastrukturu koji su se pojavili u domaćem javnom sektoru u nedavnoj povijesti.

Što je ukradeno iz LACMTA-e i kako se proboj odvijao

Prema nalazima Gambit Securityja, napadači su se domogli znatne količine internih podataka prije nego što je proboj obuzdan. Plijen od 700 GB navodno uključuje arhive e-pošte zaposlenika i operativne sigurnosne kopije, dvije kategorije podataka koje nose značajan rizik kada dospiju u neprijateljske ruke.

Arhive e-pošte često sadrže mnogo više od rutinske korespondencije. Mogu uključivati evidencije osoblja, interne dokumente o politikama, ugovore s dobavljačima, pravnu komunikaciju i osjetljive informacije o putnicima prikupljene kroz servisne operacije. Sigurnosne kopije, ovisno o načinu konfiguracije, mogu sadržavati vjerodajnice sustava, snimke baza podataka i konfiguracijske datoteke koje bi se mogle iskoristiti za olakšavanje budućih upada.

Proboj je bio dovoljno ozbiljan da izazove djelomično gašenje mreže, odgovor koji signalizira da je agencija prepoznala aktivnu kompromitaciju i poduzela mjere za ograničavanje štete. Međutim, gašenja također potvrđuju da su napadači već ostvarili značajan pristup prije otkrivanja.

Zašto su javne prijevozne mreže meke mete za hakerske skupine pod pokroviteljstvom države

Javne prijevozne agencije zauzimaju neugodan položaj u ekosustavu kibernetičke sigurnosti. Upravljaju infrastrukturom na razini srednjeg poduzeća, ali često rade s proračunskim ograničenjima i kadrovskim ograničenjima općinskog odjela. Naslijeđeni sustavi izgrađeni prije nego što su postojali moderni modeli prijetnji sjede rame uz rame s novijim platformama za digitalno izdavanje karata, softverom za operacije u stvarnom vremenu i alatima za komunikaciju zaposlenika, stvarajući mozaik sigurnosnih postavki koje je teško uniformno braniti.

Iranski akteri povezani s državom pokazali su jasan obrazac ciljanja upravo ovakvih institucija. Umjesto izravnog napada na snažno utvrđene savezne mreže, sve se više fokusiraju na javne organizacije, komunalna poduzeća i prijevozne sustave gdje je obrana tanja, a potencijal za poremećaj visok. CISA i FBI opetovano su upozoravali da iranske hakerske skupine aktivno ispituju ranjivosti u sektorima kritične infrastrukture SAD-a, uključujući prijevoz.

Za strane zlonamjerne aktere, uspješan proboj velike prijevozne uprave služi višestrukim svrhama. Donosi potencijalno iskoristive podatke, demonstrira sposobnost i stvara javni poremećaj uz relativno skromna ulaganja u usporedbi s napadom na utvrđenu vojnu ili obavještajnu metu.

Što 700 GB e-pošte i sigurnosnih kopija znači za pogođene pojedince

Za zaposlenike LACMTA-e, neposredna briga je izloženost osobnih i profesionalnih informacija koje su bile pohranjene ili prenesene kroz sustave agencije. E-pošta iz kompromitiranih arhiva mogla bi sadržavati brojeve socijalnog osiguranja, podatke o izravnom bankovnom plaćanju, evidencije o radu ili komunikaciju povezanu sa zdravljem, ovisno o tome kako je osoblje koristilo internu e-poštu za kadrovska pitanja.

Za putnike, rizik ovisi o tome koje je podatke prijevozna uprava prikupljala i zadržavala te je li nešto od toga dospjelo u kompromitirane sigurnosne kopije. Sustavi beskontaktnog plaćanja, povijest putovanja povezana s računima i bilo koji pohranjeni osobni identifikatori korišteni za programe sniženih cijena karata ili usluge pristupačnosti sve su vjerojatne vrste podataka koje bi mogle biti prisutne.

Valja napomenuti da se opseg onoga što je izvučeno još uvijek procjenjuje. Brojka od 700 GB predstavlja potvrđeni minimum, a ne nužno gornju granicu. Pripisivanje akteru povezanom s državom također postavlja pitanja hoće li podaci biti iskorišteni za financijsku dobit, korišteni za prikupljanje obavještajnih podataka ili zadržani u pričuvi za buduće pritiske.

Ovaj slučaj podsjetnik je da čak ni istaknute institucije s javnom odgovornošću nisu imune. Kao što je proboj e-pošte direktora FBI-a pokazao, visoka vidljivost ne znači i visoku sigurnost. Ako se šef vodeće nacionalne agencije za provođenje zakona može suočiti s kompromitacijom e-pošte, jaz između percepcije i stvarnosti u prijevoznoj upravi postaje još izraženiji.

Kako bi vlada i javne agencije trebale ojačati osjetljive komunikacije

Proboj LACMTA-e nudi jasan primjer rizika nedovoljnog ulaganja u temeljne sigurnosne kontrole. Nekoliko praksi, ako se sustavno provode, značajno smanjuje i vjerojatnost uspješnog upada i štetu kada do nje dođe.

Sigurnost e-pošte logična je početna točka. Moderna okruženja e-pošte trebala bi provoditi višefaktorsku autentifikaciju na svim računima, primjenjivati principe pristupa s nultim povjerenjem i koristiti sigurnosne prolaze za e-poštu sposobne otkriti neuobičajene aktivnosti masovnog izvlačenja podataka. Također treba preispitati prakse arhiviranja: zadržavanje godina nefiltrirane e-pošte na dostupnim sustavima stvara bogatu metu koja s vremenom postaje sve vrijednija.

Sigurnost sigurnosnih kopija zaslužuje jednaku pozornost. Sigurnosne kopije trebale bi se pohranjivati u segmentiranim okruženjima sa strogim kontrolama pristupa, idealno slijedeći model izvanmrežnog ili zračno izoliranog modela za najosjetljivije snimke. Redovito testiranje integriteta sigurnosnih kopija trebalo bi biti upareno s nadzorom pokušaja neovlaštenog pristupa.

Segmentacija mreže, kontinuirani nadzor i planiranje odgovora na incidente zaokružuju osnovu. Agencije koje se još uvijek oslanjaju na sigurnosne modele temeljene na perimetru, gdje se sve unutar mreže implicitno vjeruje, djeluju s temeljnom arhitektonskom ranjivošću koju akteri pod pokroviteljstvom države znaju iskoristiti.

Što ovo znači za vas

Ako živite ili radite u okrugu Los Angeles i imali ste interakciju sa sustavima LACMTA-e, najneposredniji korak je praćenje financijskih računa i kreditnih izvješća radi neuobičajenih aktivnosti. Ako vas agencija kontaktira u vezi s probojem, svaku obavijest shvatite ozbiljno i slijedite upute o zaštitnim mjerama poput upozorenja o prijevari ili zamrzavanja kredita.

Šire gledano, ovaj incident potvrđuje načelo koje vrijedi i daleko izvan Los Angelesa: nijedna institucija nije previše istaknuta, prevelika ili previše javnog karaktera da ne bi bila meta. Proboj iranskih hakera u kritičnu infrastrukturu LACMTA-e slijedi dokumentirani obrazac stranih aktera koji ciljaju organizacije najslabije opremljene za obranu.

Za zaposlenike bilo koje javne agencije, postupajte sa svojom radnom e-poštom s istim oprezom koji biste primijenili na osjetljive osobne račune. Izbjegavajte je koristiti za bilo što što ne biste željeli otkriti, omogućite sve dostupne sigurnosne značajke i prijavite bilo što neobično svom IT odjelu bez odgađanja. Proboj u Los Angelesu podsjetnik je da se posljedice neodgovorne digitalne higijene protežu daleko izvan pristigle pošte bilo koje osobe.