Szesnaście godzin, na żywo, w ostatnich dniach sierpnia

Między 31 sierpnia a 3 września 2024 roku dwóch nastolatków rozłożyło na części infrastrukturę technologiczną organizacji, która porusza Londynem, i część tej pracy transmitowało na żywo. 16 lipca w Woolwich Crown Court sędzia Turner skazał Owena Flowersa, lat 18, z Walsall, i Thalhę Jubaira, lat 20, z Bow we wschodnim Londynie, na kary po pięć lat i sześć miesięcy więzienia. Wyrok uwzględnia już piętnastoprocentowe obniżenie za przyznanie się do winy w czerwcu. Obaj odpowiadali za udział we włamaniu do Transport for London, instytucji odpowiedzialnej za metro, autobusy i drogi, z których codziennie korzystają miliony ludzi.

National Crime Agency nie opisała tego jako zwykłej sprawy. Paul Foster, zastępca dyrektora tej brytyjskiej agencji do walki z przestępczością zorganizowaną, nazwał ją największym postępowaniem w sprawie cyberprzestępczości, jakie kiedykolwiek trafiło przed brytyjskie sądy, a stojącą za nią grupę określił jako najpoważniejsze zagrożenie cyberprzestępcze dla Wielkiej Brytanii. Obaj skazani mieszczą się w luźnej sieci, którą badacze określają mianem Scattered Spider, w tym samym środowisku, które wiąże się z atakiem na MGM Resorts w 2023 roku i z falą uderzeń w brytyjskich detalistów w 2025 roku. Samemu Jubairowi zarzuca się skompromitowanie 120 sieci należących do 47 organizacji ze Stanów Zjednoczonych, czyli działalność powiązaną z ponad 115 milionami dolarów wypłaconych okupów.

To, co czyni tę sprawę wartą godziny uwagi każdego operatora, to nie wyrok. To arytmetyka pod nim. TfL nie zapłaciło okupu. Nie było płatności za wymuszenie, nie było negocjacji, nie było przelewu w kryptowalucie do grupy, która już udowodniła, że potrafi wejść do środka. Organizacja odmówiła, odbudowała się i mimo to zaksięgowała rachunek na około 29 milionów funtów, czyli mniej więcej 33 miliony euro. Ta liczba to uczciwa cena tego ataku i to ona powinna trafić do twojego własnego planowania, ponieważ tak wygląda sytuacja, w której odpowiedzią na żądanie jest nie.

Nie wyłamali drzwi. Zadzwonili na helpdesk

Droga wejścia nie miała w sobie niczego egzotycznego. Napastnicy zdobyli częściowe dane uwierzytelniające na forach przestępczych, czyli ten rodzaj fragmentarycznego materiału, który gromadzi się przez lata z niepowiązanych ze sobą wycieków i kosztuje bardzo niewiele. Częściowe dane uwierzytelniające to jeszcze nie dostęp. W dostęp zamienił je kolejny krok: phishing i socjotechnika wymierzone w ludzi oraz helpdesk, który można było przekonać do zresetowania uwierzytelniania wieloskładnikowego po tym, jak jeden z napastników podszył się pod pracownika. Drugi składnik zrobił dokładnie to, do czego został zaprojektowany. Po prostu wydał go proces, który istnieje po to, żeby pomagać pracownikom odciętym od kont.

To jest ta niewygodna część, ponieważ kontrola, która zawiodła, nie pojawia się na żadnym schemacie architektury. Organizacje kupują MFA, a potem odnotowują ryzyko jako obsłużone. Ryzyko szczątkowe tkwi w ścieżce odzyskiwania dostępu, a ścieżką odzyskiwania jest człowiek pod presją czasu, którego zadaniem jest być pomocnym, którego rozlicza się z tego, jak szybko topnieje kolejka, i który nie ma wiarygodnego sposobu, żeby udowodnić, że zdenerwowany głos w słuchawce należy do nazwiska ze zgłoszenia. Każdy utwardzony system tożsamości na świecie ma wbudowane miękkie obejście, a przy tym obejściu siedzi ktoś rozliczany z szybkości.

Materiał dowodowy pokazuje sprawę zbudowaną ze zwyczajnych rzeczy, a nie z pomysłowych. Na należącym do Flowersa laptopie Acer znalazły się logi dostępu do zdalnej infrastruktury, filmy i zrzuty ekranu z samego ataku, arkusze z danymi uwierzytelniającymi pracowników TfL oraz zapisy płatności kryptowalutowych, które pasowały do zamówień jedzenia z dostawą pod jego własny adres. Ta sama maszyna zawierała ślady prowadzące do włamań u amerykańskich świadczeniodawców opieki zdrowotnej SSM Health i Sutter Health. Ludzie, którzy kosztowali zarząd transportu 29 milionów funtów, zamawiali kolację pod mieszkanie, z którego to robili.

Dwadzieścia osiem tysięcy osób, jedna kolejka, żadnego skrótu

Tutaj naprawdę poszły pieniądze. Około 28 000 pracowników TfL musiało stawić się osobiście w biurze, żeby ich hasła zresetował drugi człowiek, który widział ich twarz. Nie link w mailu. Nie portal samoobsługowy. Nie telefon na helpdesk, ponieważ to właśnie helpdesk został nadużyty. Kiedy podejrzany staje się sam system tożsamości, każdy zdalny kanał potwierdzania, kim jesteś, dziedziczy to podejrzenie, a jedynym narzędziem, jakie zostaje i jakiego napastnik nie jest w stanie podrobić na masową skalę, jest fizyczna obecność. To jest czynnik kosztowy i jest to problem logistyczny z naklejką cyberbezpieczeństwa.

Zrób tę arytmetykę dla własnej organizacji, bo jest bezlitosna i nikt nie robi jej z wyprzedzeniem. Weź swoją liczbę pracowników. Podziel ją przez liczbę osób, które realnie zdołasz zidentyfikować osobiście w ciągu godziny, we wszystkich lokalizacjach, jakie prowadzisz, w dniu, w którym twoje systemy nie działają, a twoim pracownikom nie da się wysłać instrukcji mailem. Ten iloraz to twój czas odbudowy i nie skróci się dlatego, że kupiłeś lepszy produkt. 148 systemów dotkniętych w TfL to był zakres techniczny. Dwadzieścia osiem tysięcy tożsamości to był zakres operacyjny i to ta druga liczba ustawiła rachunek.

To, co widzieli klienci, ciągnęło się o wiele dłużej niż samo włamanie. Sam atak trwał trzy dni pod koniec sierpnia. Wydawanie imiennych kart przejazdowych ze zdjęciem wróciło dopiero 4 grudnia 2024 roku, ponad trzy miesiące później, obok zakłóceń w logowaniu do kont, w portalach klienckich, w połączonych aplikacjach zewnętrznych i w automatach biletowych. Dane siedmiu milionów użytkowników zostały ujawnione. Włamanie mierzone w dniach dało przerwę w usłudze mierzoną w miesiącach, a każdy zarząd, który wnioskuje o długości przestoju z długości ataku, czyta oś czasu od złego końca.

Dopiero drugi taki wyrok skazujący

Szczegół prawny znaczy więcej, niż na to wygląda. Flowers i Jubair zostali skazani na podstawie Section 3ZA ustawy Computer Misuse Act z 1990 roku, czyli przepisu zarezerwowanego dla nieuprawnionych działań, które powodują poważną szkodę materialną albo stwarzają ryzyko jej powstania. To dopiero drugi wyrok skazujący, jaki kiedykolwiek zapadł na podstawie tego przepisu. Przez 35 lat ustawa dostarczała głównie zarzutów o nieuprawniony dostęp i zakłócanie pracy systemów, a przesłanka poważnej szkody pozostawała bliska teorii. Teraz widać, że da się jej użyć, i zastosowano ją do ataku na transport, a nie na szpital czy elektrownię.

Czytaj to jako sygnał, gdzie brytyjscy prokuratorzy widzą granicę. Section 3ZA istnieje dla skutków w świecie fizycznym i w życiu państwa, a sieć transportu publicznego się zakwalifikowała. Każdy operator, którego awaria przerwałaby zwykłe funkcjonowanie miasta, powinien założyć, że to samo rozumowanie obejmie atak na niego, a to ma też dobrą stronę: państwo traktuje teraz włamanie do takiej infrastruktury jako przestępstwo poważnej szkody i jest gotowe poświęcić lata na zbudowanie sprawy, która to udowodni.

Wyrok wyznacza też punkt odniesienia w kwestii odstraszania, który właściciele powinni odczytać uczciwie. Pięć i pół roku za 29 milionów funtów szkód i siedem milionów ujawnionych rekordów to realna kara, która przychodzi prawie dwa lata po ataku, wobec dwóch osób z sieci działającej przez cały ten czas. Ściganie jest konsekwencją, nie kontrolą. Karze ludzi, którzy to zrobili, długo po tym, jak twoja odbudowa się zakończy, a twoje pieniądze zostaną wydane, i nic w tym wyroku nie skróciłoby kolejki w TfL nawet o jedną godzinę.

Cztery pytania do twojego service desku na ten tydzień

Czy twój helpdesk potrafi zresetować uwierzytelnianie wieloskładnikowe na podstawie samego telefonu? Jeśli tak, masz podatność TfL, niezależnie od tego, ile kosztuje twój stos bezpieczeństwa. Poprawka jest proceduralna, a nie techniczna: wymagaj ścieżki weryfikacji, której dzwoniący nie jest w stanie dostarczyć ze skradzionych fragmentów, na przykład potwierdzenia przez przełożonego znanym i pewnym kanałem, zestawienia nagrania wideo z aktami osobowymi albo osobistego stawiennictwa dla kont uprzywilejowanych. Będzie wolniej i pracownicy będą narzekać. To narzekanie to właśnie działająca kontrola.

Ile czasu zajmie ci ponowna identyfikacja wszystkich? Wykonaj dzielenie. Jeśli wynik przekracza dwa tygodnie, zdecyduj już teraz, które role odzyskują dostęp jako pierwsze, ponieważ w tym dniu będziesz robić tę selekcję w pośpiechu, z członkiem zarządu stojącym nad tobą. Zapisz tę kolejność, póki jest spokojnie i nudno, i trzymaj ją w miejscu, które przetrwa utratę systemów, jakie opisuje.

Co przestaje działać dla twoich klientów i na jak długo po tym, jak będziesz już czysty? Wewnętrzna odbudowa TfL i jego publiczna odbudowa to były dwa różne zdarzenia, oddalone o trzy miesiące. Wskaż procesy, które dotykają klientów i zależą od danych, które trzeba by odbudować albo zweryfikować od nowa, i wyceń je osobno od przywracania technicznego. Tam kryje się szkoda wizerunkowa i tam liczba przestaje wyglądać jak koszt IT, a zaczyna wyglądać jak przychód.