Irańscy hakerzy uderzają w metro w Los Angeles, kradnąc 700 GB danych
Powiązana z Iranem grupa hakerska została zidentyfikowana jako odpowiedzialna za poważny wyciek danych z Zarządu Transportu Metropolitalnego Hrabstwa Los Angeles (LACMTA), jednego z największych systemów transportu publicznego w Stanach Zjednoczonych. Izraelska firma zajmująca się cyberbezpieczeństwem Gambit Security przypisała włamanie aktorom powiązanym z irańskim państwem, którzy wykradli co najmniej 700 gigabajtów danych, w tym wiadomości e-mail i kopie zapasowe systemów, zmuszając agencję do częściowego wyłączenia sieci na początku tego roku. Incydent ten jest jednym z najpoważniejszych przypadków naruszenia infrastruktury krytycznej przez irańskich hakerów, jakie w ostatnim czasie wyszły na jaw w krajowym sektorze publicznym.
Co zostało skradzione z LACMTA i jak przebiegał wyciek
Zgodnie z ustaleniami Gambit Security, atakujący zdołali zagarnąć znaczną ilość wewnętrznych danych, zanim naruszenie zostało powstrzymane. Łup o wielkości 700 GB obejmował podobno archiwa poczty elektronicznej pracowników oraz kopie zapasowe systemów operacyjnych – dwie kategorie danych, które niosą ze sobą duże ryzyko, gdy trafią w ręce przeciwnika.
Archiwa wiadomości e-mail często zawierają znacznie więcej niż rutynową korespondencję. Mogą w nich znajdować się akta osobowe, wewnętrzne dokumenty polityczne, umowy z dostawcami, komunikacja prawna oraz wrażliwe informacje dotyczące pasażerów, zbierane podczas realizacji usług. Kopie zapasowe, w zależności od konfiguracji, mogą zawierać poświadczenia systemowe, migawki baz danych i pliki konfiguracyjne, które można ponownie wykorzystać do ułatwienia przyszłych włamań.
Naruszenie było na tyle poważne, że spowodowało częściowe wyłączenie sieci – reakcja ta sygnalizuje, że agencja dostrzegła aktywne zagrożenie i podjęła działania w celu ograniczenia szkód. Wyłączenia potwierdzają jednak również, że atakujący uzyskali znaczący dostęp, zanim ich wykryto.
Dlaczego sieci transportu publicznego są łatwym celem dla sponsorowanych przez państwo hakerów
Agencje transportu publicznego znajdują się w niewygodnym miejscu w ekosystemie cyberbezpieczeństwa. Zarządzają infrastrukturą na skalę średniej wielkości przedsiębiorstwa, ale często działają przy ograniczeniach budżetowych i kadrowych typowych dla wydziałów municypalnych. Przestarzałe systemy, zbudowane zanim powstały nowoczesne modele zagrożeń, współistnieją z nowszymi platformami biletów cyfrowych, oprogramowaniem do zarządzania operacjami w czasie rzeczywistym i narzędziami do komunikacji z pracownikami, tworząc mozaikę poziomów zabezpieczeń, którą trudno jest jednolicie bronić.
Aktorzy powiązani z irańskim państwem wykazali wyraźny schemat atakowania właśnie tego rodzaju instytucji. Zamiast bezpośrednio atakować silnie ufortyfikowane sieci federalne, coraz częściej koncentrują się na organizacjach sektora publicznego, przedsiębiorstwach użyteczności publicznej i systemach transportowych, gdzie zabezpieczenia są słabsze, a potencjał do wywołania zakłóceń – duży. CISA i FBI wielokrotnie ostrzegały, że irańskie grupy hakerskie aktywnie poszukują luk w sektorach infrastruktury krytycznej USA, w tym w transporcie.
Dla zagranicznych podmiotów stanowiących zagrożenie udane włamanie do dużej instytucji transportowej służy wielu celom. Dostarcza potencjalnie dających się wykorzystać danych, demonstruje zdolności i powoduje zakłócenia publiczne przy stosunkowo niewielkim nakładzie środków w porównaniu z atakiem na silnie chroniony cel wojskowy czy wywiadowczy.
Co 700 GB e-maili i kopii zapasowych oznacza dla osób dotkniętych wyciekiem
Dla pracowników LACMTA bezpośrednim problemem jest ujawnienie danych osobowych i zawodowych przechowywanych lub przesyłanych za pośrednictwem systemów agencji. Wiadomości e-mail z przejętych archiwów mogą zawierać numery ubezpieczenia społecznego, dane do przelewów bezpośrednich, dokumentację wyników pracy lub komunikację związaną ze zdrowiem – w zależności od tego, jak pracownicy wykorzystywali wewnętrzną pocztę do spraw kadrowych.
Dla pasażerów ryzyko zależy od tego, jakie dane agencja transportowa gromadziła i przechowywała oraz czy jakiekolwiek z nich znalazły się w przejętych kopiach zapasowych. Systemy płatności zbliżeniowych, historia podróży powiązana z kontami oraz wszelkie przechowywane identyfikatory osobiste wykorzystywane w programach zniżkowych lub usługach dostępności – to wszystko są prawdopodobne typy danych, które mogłyby się tam znaleźć.
Warto zaznaczyć, że zakres wykradzionych danych jest wciąż przedmiotem analizy. Liczba 700 GB stanowi potwierdzone minimum, a niekoniecznie górny pułap. Powiązanie z aktorem państwowym rodzi również pytania o to, czy dane zostaną wykorzystane dla zysku finansowego, użyte do gromadzenia informacji wywiadowczych, czy też zatrzymane w rezerwie na potrzeby przyszłej presji.
Sprawa ta przypomina, że nawet znaczące instytucje podlegające publicznej odpowiedzialności nie są odporne. Jak pokazało włamanie na skrzynkę e-mail samego dyrektora FBI, wysoki profil nie oznacza wysokiego poziomu bezpieczeństwa. Jeśli szef czołowej agencji ścigania w kraju może doświadczyć włamania na swoją pocztę, przepaść między postrzeganiem a rzeczywistością w przypadku instytucji transportowej staje się jeszcze bardziej rażąca.
Jak instytucje rządowe i publiczne powinny wzmacniać wrażliwą komunikację
Włamanie do LACMTA stanowi wyraźne studium przypadku ryzyka związanego z niedoinwestowaniem podstawowych zabezpieczeń. Kilka praktyk, jeśli zostaną wdrożone systematycznie, znacząco zmniejsza zarówno prawdopodobieństwo udanego włamania, jak i szkody powstałe w razie jego wystąpienia.
Bezpieczeństwo poczty elektronicznej jest logicznym punktem wyjścia. Nowoczesne środowiska poczty powinny wymuszać uwierzytelnianie wieloskładnikowe na wszystkich kontach, stosować zasady zerowego zaufania i korzystać z bram bezpieczeństwa poczty zdolnych do wykrywania nietypowej, masowej eksfiltracji danych. Należy również przejrzeć praktyki archiwizacji: przechowywanie lat nieprzefiltrowanych e-maili w dostępnych systemach stwarza bogaty cel, który z czasem staje się coraz cenniejszy.
Bezpieczeństwo kopii zapasowych zasługuje na równie dużo uwagi. Kopie zapasowe powinny być przechowywane w odseparowanych środowiskach z surową kontrolą dostępu, najlepiej w modelu offline lub z fizyczną izolacją dla najwrażliwszych migawek. Regularne testowanie integralności kopii zapasowych powinno być połączone z monitorowaniem prób nieautoryzowanego dostępu.
Segmentacja sieci, ciągły monitoring i planowanie reagowania na incydenty dopełniają zestawu podstawowych środków. Agencje, które wciąż opierają się na modelach bezpieczeństwa skoncentrowanych na obwodzie, gdzie wszystko wewnątrz sieci jest domyślnie zaufane, działają z fundamentalną luką architektoniczną, którą sponsorowani przez państwo aktorzy potrafią wykorzystać.
Co to oznacza dla Ciebie
Jeśli mieszkasz lub pracujesz w hrabstwie Los Angeles i miałeś kontakt z systemami LACMTA, najpilniejszym krokiem jest monitorowanie swoich kont finansowych i raportów kredytowych pod kątem nietypowej aktywności. Jeśli agencja skontaktuje się z Tobą w sprawie naruszenia, potraktuj każde powiadomienie poważnie i postępuj zgodnie z wytycznymi dotyczącymi środków ochronnych, takich jak alerty o oszustwie czy zamrożenie kredytu.
Szerzej rzecz ujmując, incydent ten wzmacnia uniwersalną zasadę: żadna instytucja nie jest zbyt prominentna, zbyt duża ani zbyt obywatelska, by stać się celem. Włamanie do infrastruktury krytycznej przez irańskich hakerów w LACMTA wpisuje się w udokumentowany schemat działań zagranicznych aktorów, którzy biorą na cel organizacje najmniej przygotowane do obrony.
Pracownicy wszelkich agencji publicznych powinni traktować swoją służbową pocztę z taką samą ostrożnością, jak wrażliwe konta osobiste. Unikaj używania jej do wszystkiego, czego nie chciałbyś ujawnić, włączaj wszystkie dostępne funkcje bezpieczeństwa i niezwłocznie zgłaszaj działowi IT wszelkie niecodzienne sytuacje. Włamanie w Los Angeles przypomina, że konsekwencje rozluźnionej higieny cyfrowej wykraczają daleko poza skrzynkę odbiorczą pojedynczej osoby.
