Obnova prevádzky podniku LESY SR po kybernetickom útoku

Dôsledkom kybernetického útoku je vyradenie prevádzky celého podniku, tomuto problému čelili aj LESY Slovenskej republiky.

Realizácia 2022

aricoma avatar

Profil zákazníka

LESY Slovenskej republiky sú štátny podnik, ktorého hlavnou úlohou je spravovanie lesného a iného majetku vo vlastníctve Slovenskej republiky. Víziou podniku je trvalo udržateľný rozvoj štátnych lesov, ktorý zabezpečí proporcionálne uspokojovanie potrieb spoločnosti a optimálne zhodnotí lesný majetok štátu. Zhodnotenie sa realizuje ťažbou a speňažením dreva, investičnou činnosťou, čerpaním fondov EU na rozvojové projekty a ďalšími aktivitami.

Bezpečnostný incident v takom rozsahu, ako sa udial v štátnom podniku LESY Slovenskej republiky naplno odhaľuje, aká krehká je bezpečnosť v prostredí IT a aké dôležité je neustále vzdelávanie všetkých zamestnancov, ktorí so systémami pracujú. Na spolupráci s vybranou IT spoločnosťou oceňujeme, že od prvého momentu vyhodnotili závažnosť situácie a k riešeniu pristupovali mimoriadne zodpovedne. Hoci fyzická obnova prevádzky informačných systémov sa ráta v dňoch a následná kontrola všetkých pracovných staníc v týždňoch, kľúčové rozhodnutia a plán obnovy prevádzky boli v reakčnom tíme odkonzultované a dohodnuté behom niekoľkých hodín, pričom správnosť rozhodnutí sa v celom procese obnovy potvrdila a nebolo potrebné zásadne ich meniť.

Ing. Andrej MELICHER

vedúci systémovej administrácie

Východzia situácia, ciele projektu

Podnikateľská výzva roka

Jednou z najväčších hrozieb fungovania podnikov sa stávajú kybernetické útoky, ktoré dokážu cielene odcudziť alebo poškodiť údaje kritické pre ich fungovanie, znefunkčniť systémy a siete, ich zálohy, prípadne získať kontrolu alebo prístup k základným podnikovým aplikáciám. Priamym dôsledkom kybernetického útoku býva vyradenie prevádzky celého podniku. Pri rozsiahlejších útokoch aj na niekoľko dní až týždňov. Takejto podnikateľskej výzve čelili v roku 2022 aj LESY Slovenskej republiky.

Na konci letných prázdnin spustila skupina útočníkov, po niekoľko dňovej príprave, plošné šifrovanie dát. Ransomvérový útok sa rozšíril po celej podnikovej sieti, počnúc infraštruktúrou dátového centra na generálnom riaditeľstve až po servery a počítače v lesných závodoch a na lesných správach. Došlo k infiltrácii doménových účtov, Active Directory a šifrovaniu podnikových aj používateľských dát a niektorých záloh.

Útok mal za následok vypnutie celej podnikovej IT infraštruktúry a jej postupné a bezpečné obnovovanie. Piaty deň od útoku bol poslaný prvý email, siedmy spustené prvé podnikové aplikácie, dvanásty nabehla väčšina centrálnych systémov a do mesiaca a pol od útoku došlo ku kompletnej reinštalácii celého prostredia, vrátane pracovných staníc a notebookov. Prvé dva týždne bežal obchod a prevádzka podniku v plne papierovej forme.

Na siedmy deň sa ozvali útočníci s podmienkami....

Benefity

 Čo sme sa naučili.....
  • Je veľa drobných zmien v IT infraštruktúre, ktoré vedia zásadne zlepšiť jej bezpečnosť, o ktorých sa vie, ale nikdy nie je čas na ich realizáciu. A je stokrát lepšie požiadať o ich realizáciu externú firmu ako ich neurobiť.
  • U väčšiny našich zákazníkov je potrebné urobiť redizajn nasadenia zálohovania tak, aby bola aspoň jedna kópia záloh, ktorú nemá nikto, ani lokálny správca, možnosť zničiť.
  • V dnešnej dobe „Zero trust“ nie je fráza ale nutnosť.

Popis riešenia

Technická výzva roka

Prvým krokom po zaregistrovaní útoku, okolo 6:30 ráno, bolo vypnutie dátového centra, odstavenie vonkajšej sieťovej komunikácie, neskôr aj kompletná izolácia celej siete. A zavolanie IT spoločnosti na pomoc. Behom niekoľkých hodín sa zapojilo 7 špecialistov, z ktorých viacerí vyrazili fyzicky do centrály Lesov SR v Banskej Bystrici. Vznikol krízový manažment, ktorý koordinoval spoločné tímy a postup prác na obnove.

Prvých niekoľko hodín sa snažili postupnou analýzou všetkých komponentov infraštruktúry určiť, ako prebiehal útok, kedy sa začali dáta šifrovať, čo tomu predchádzalo a celkový rozsah škôd a použiteľnosť dát v zálohách a replikách. Hľadal sa pevný bod, na čo sa dá v ICT infraštruktúre Lesov SR po útoku spoľahnúť. Tu sa ukázalo, že by významne usporil čas garantovaný a neprepisovateľný centrálny logovací systém odolný aj voči zásahom samotných administrátorov.

Počas analýzy rozsahu a dopadu incidentu sa zistilo, že sieťové prvky sa nepodarilo útočníkom infiltrovať, ostali k dispozícii použiteľné a overené zálohy systémov a dát a identifikoval sa pravdepodobný čas prvých rozsiahlych aktivít útočníka. Na základe detailných analýz sa stanovil „bezpečný“ stav, teda čas, do ktorého obnovia dáta a systémy. Postupne bolo podľa priorít obnovených zhruba 40 TB dát.

V rámci obnov jednotlivých prostredí boli podľa dohodnutých postupov skontrolované všetky obnovené systémy na známe zraniteľnosti špecializovanými penetračnými testami, každý systém bol skontrolovaný z pohľadu kompromitácie útočníkom a najmä boli aplikované našimi špecialistami všetky odporúčané konfiguračné zmeny vedúce k zvýšeniu zabezpečenia daného prostredia (hardening). Išlo napríklad o hardening Active Directory, rekonfigurácia firewallov, hardening OS, tiering doménových správcovských účtov, zmena hesiel lokálnych administrátorov na koncových zariadeniach (LAPS), nasadenie nového antivírového a dohľadového riešenia, zmena všetkých hesiel v doméne (užívateľských, systémových aj administrátorských) a ďalšie kroky na zvýšenie bezpečnosti prostredia.

Paralelne s tým prebiehalo vyšetrovanie, komunikácia s príslušnými organizáciami zodpovednými za formálne zastrešenie, vyšetrovanie a riešenie incidentu – NBÚ, CSIRT, Úrad na ochranu osobných údajov a samozrejme Polícia SR.

Prvým veľkým míľnikom obnovy bolo na piaty deň spustenie elektronickej pošty, i keď si ju zatiaľ väčšina zamestnancov mohla čítať len na telefóne. Druhým bol nábeh podnikových aplikácií a spracovanie mesačnej uzávierky. No a tretím, reinštalácia poslednej pracovnej stanice. Kompletný nábeh centrálnych komponentov po útoku trval 12 dní, nábeh všetkého do plnej prevádzky 7 týždňov.

Príbeh skončil happy endom a standing ovation na prezentácii po incidente a ocenením veľkého osobného nasadenia všetkých zúčastnených.

Môže sa to stať aj u Vás? Bohužiaľ ÁNO.

Dá sa tomu zabrániť? Bohužiaľ NIE.

Dá sa z toho poučiť a urobiť niečo, aby to menej bolelo? Určite ÁNO.

Radi poradíme.

Použité technológie

  • Hardening Active Directory
  • Tiering privilegovaných doménových účtov
  • Hardening zálohovania (Veeam Backup and Replication)
  • Implementácia Privileged Access Workstation (PAW)
  • Implementácia Local Administrator Password Solution (LAPS)
  • Zabezpečenie prístupu do siete prostredníctvom 802.1x
  • ESET XDR riešenie
  • Viacfaktorové overovanie (MFA) a Conditional Access
Zdieľať

NEVÁHAJTE NÁS
KONTAKTOVAŤ

Máte záujem o ďalšie informácie alebo ponuku pre vašu konkrétnu situáciu?

Odoslaním registračného formulára vyhlasujem, že som sa oboznámil s informáciami o spracovaní osobných údajov v spoločnosti ARICOMA.