Napadení GFK CryptoLockerem

[David1234]

Ahoj, právě jsem četl článek na novinkách, který mluví o napadení plzeňského gymnázia "přes službu, která umožňuje studentům přihlásit se k síti wi-fi po celé Evropě."

Předpokládám že jde o eduroam síť. Zajímalo by mě jestli o tom nemá někdo více informací - například jaký byl konkrétně vektor útoku. Podle článku na novinky.cz to totiž vypadá tak že za napadení může připojení do sítě eduroam.

Zdroj:
https://www.novinky.cz/internet-a-pc/bezpecnost/471624-hackeri-napadli-plzenske-gymnazium-za-odsifrovani-dat-chteli-milion-v-bitcoinech.html

[Reklama]

[romanz]

podobnej pruser se vzdycky nejak zamlzi a svede pokud mozno na neco podobnyho.. ale je v tom lidskej faktor v ty skole a ne nejaka mezinarodni sit..

Dobre.. tak se tam utocnik dostal pres eduroam, ale jak se mu mohlo podarit dostat se k datum na serverech ?  Jak vubec nekdo z venku muze zpusobit takovou skodu - i kdybych ho posadil k pocitaci uvnitr budovy, tak by ze v zadnym pripade nesmel dostat k citlivym datum - a kdyby, tak snad mimochdem maji zalohu (a ne jednu).
Mam pocit ze tam nekdo neco tezce zanedbal a ted to svalujou na nejakej neurcitej "prunik z mezinarodni studentske site".

[romanz]

tak jsem to docetl a zalohu tedy maji, ale co znamena tenhle obrat.. 

"I když byla zašifrovaná cesta k záloze, data zašifrovaná nebyla. Takže jsme se k záloze i ke všem svým datům nakonec dostali"

[Milfaus]

"I když byla zašifrovaná cesta k záloze, data zašifrovaná nebyla. Takže jsme se k záloze i ke všem svým datům nakonec dostali"

No, logické vysvětlení je jen jedno!
Hlavní problém byl, že jim na ploše zašifrovali i zástupce souborů
Ale protože to jsou super machři, tak se paní sekretářka nakonec na to Dčko přes průzkumníka proklikala.

[Trubicoid2]

Hahaha, zašifrovaná cesta k záloze, já se okotím 

[Reklama]

[Ujo]

Vektor útoku, i když je to zatím jen JPP, byl Windows počítač/server na kterém běžel RADIUS pro eduroam a byl takticky vystrčený RDPčkem do internetu.

Osobně si myslím, že je to klasický útok CryptoLockeru = přišel mailem uživateli se zbytečně vysokými právy a zašifroval vše. vč. síťových disků a možná i záloh, které leží tamtéž.

[romanz]

"I když byla zašifrovaná cesta k záloze, data zašifrovaná nebyla. Takže jsme se k záloze i ke všem svým datům nakonec dostali"

No, logické vysvětlení je jen jedno!
Hlavní problém byl, že jim na ploše zašifrovali i zástupce souborů
Ale protože to jsou super machři, tak se paní sekretářka nakonec na to Dčko přes průzkumníka proklikala.

Asi takhle.. sekratářce přišel ten mail kde se psalo že mají neuhrazenou fakturu a byl v češtině, takže nepojala žádné podezření.
Přesto že se po prvním kliknutí na přílohu faktura.pdf.cmd nic nestalo, provedla spuštění pro jistotu ještě 3x a protože se stále nic nedělo mail zavřela a vrátila se k hraní solitaire.

[David1234]

Mě na tom fascinuje to že někdo prohlásí následující:

Podle Jana Řepíka, který má ve škole na starost správu informačních technologií, se hackeři i přes zabezpečení dostali do systému přes službu, která umožňuje studentům přihlásit se k síti wi-fi po celé Evropě.

Jinými slovy napsáno - ačkoli byla služba zabezpečena tak ji hackeři prolomili.

Z toho mi plyne to že služba nebyla zabezpečena dostatečně, popřípadě v ní byla nějaká dosud neznámá zranitelnost. Z článku to ale vyzní tak že škola měla svoji síť naprosto dokonale zabezpečenou - jenom ten eduroam jí do toho hodil vidle.

[Bubik]

jí do toho hodil vidle.

Možná i Widle 10 

[MikyM]

tak jsem to docetl a zalohu tedy maji, ale co znamena tenhle obrat.. 

"I když byla zašifrovaná cesta k záloze, data zašifrovaná nebyla. Takže jsme se k záloze i ke všem svým datům nakonec dostali"

Nedohledal jsem zatim nikde detailnejsi informace ohledne techniky utoku. Snad se to nekde objevi, take by me to zajimalo.
Ten slovni obrat take muze znamenat, ze zasifrovali i stroj, ktery dela zalohy ale na pasky, ktere uz byly vytazene se nedostali.
Pred casem byla ve vztahu k teto siti popsana jedna neprijemnost. Ubehl nejaky cas takze predpokladam, ze zrovna tohle uz opravili:
https://www.root.cz/clanky/chyba-ve-freeradius-umoznuje-pripojeni-k-wi-fi-bez-hesla/

Jakym zpusobem si skola udelala oddeleni siti je otazkou. Teoreticky by stacilo napadnout jedno zarizeni, ktere ma po prihlaseni do site pristup i do sitoveho segmentu dane skoly. Vzhledem k tomu co dokaze KRACKS bez ohledu na pouziti autentizace (WPA2-PSK, EAP-TLS,EAP-TTLS, atd.) a vetsina klientu nebude nikdy opravena. Bez dalsich informaci je to vse jen spekulace...

O zabezpeceni instituci jako skoly,nemocnice,urady nemam moc velke iluze. Treba v nemocnicich na jeji guest wifi lze bezne nalezt pripojene tiskarny z ordinaci lekaru a obcas par PC... Nedavno tady byl clanek, ze vyrobce pristroju do zdravotnictvi zacal s opravou KRACKS https://www.root.cz/zpravicky/zdravotnicke-systemy-bd-pyxis-opravuji-chybu-krack-ve-wpa2/    sice trochu pozdeji ale alespon zacal.
Kazdopadne s hromadnymi robotickimi operacemi na dalku bych jeste pockal... ;-)