Hekerski napad na HSE

Odkar je obvezno evidentiranje delovnega časa, se dogajajo taki in podobni incidenti. Zaposleni brezglavo klikajo, ker se dolgočasijo med tem ko čakajo da odsedijo polnih 8 ur.

Ja to je najbrž.
Samo vseeno sem misli da od stuxneta naprej, za take pomembne,
življenjske zadeve, uporabljajo kaj izven serijskega, namenske plcje, itd.
Na koncu se bo izkazalo, da še v vojski uporabljajo serijske vsem znane zadeve.

HSE ima SAP.

https://www.rtvslo.si/gospodarstvo/heke...

Po zanesljivih, sicer še neuradnih informacijah so hekerji po kibernetskem napadu na informacijski sistem Holdinga Slovenske elektrarne zahtevali plačilo odkupnine, in sicer v bitcoinih.

Po informacijah TV Slovenija so napadalci informacijski sistem družbe napadli z izsiljevalskim virusom Rhysida, ki je zaklenil dostope do sistema.


3 dni nazaj
HSE o kibernapadu: Situacija pod nadzorom, večjih posledic ne bo
https://www.rtvslo.si/gospodarstvo/hse-...

Za vsak gigabajt zaklenjenih dokumentov naj bi hekerji zahtevali en bitcoin, ki je po zadnjem tečaju vreden dobrih 34 tisoč evrov. Koliko podatkov so napadalci zaklenili, ni znano.
https://n1info.si/novice/slovenija/heke...

Če gre res za Rhysida, potem teh 40 strokovnjakov izgublja čas, nič ne morejo.

Z reševanjem zaklenjenih datotek se poleg policije in drugih institucij s področja kibernetske varnosti ukvarja najmanj 40 strokovnjakov.

Verjetno se ne trudijo odklenit datotek ampak restavrirajo sistem.
Da pa toliko časa traja pa verjetno kaže da so imeli slab sistem backupa, ali pa so jim ga tudi vsaj deloma zakriptirali.

Osebno poznam ljudi, ki so pri enem večjem podjetju pomagali vzpostavit IT sistem nazaj po napadu, ko so jim zašifrirali vse razen kaset. En teden je trajalo da so vzpostavili osnovno delovanje in en mesec da so bili polno operativni.

Šele ko delaš enkrat polni restore vsega, ugotoviš kako slabe backupe imaš in kako nedorečeno restore procedure.

Samo intermezzo glede backupov - tole poglejte: https://cloudbackup.si/

AWS-based all-in-one cloud backup vsega boga.

Sem delal disaster recovery po ransom napadu v podjetju s 70 zaposlenimi (20 TB podatkov, kup virtualcev, baz...). 2 dni so bili down, toliko da smo na novo dvignili sisteme na serverjih, restore je bil nato narejen v parih urah.

Se strinjam. Velik problem je še, ko moraš v podjetju bekapirat različne stvari.. virtualce, fajle, baze, računalnike zaposlenih, razne SaaS pri katerih ti vendor zagotavlja le delovanje aplikacije, ne varuje pa tvojih podatkov (ala MS 365).

Kako to vse učinkovito bekapirat je uganka.. pa dedupe, pa 3-2-1, pa gdpr.. Bi rabli imet kar enga "backup operatorja" zaposlenga, kar je čez lužo dokaj stalna praksa, pri nas pa.. "sej mamo backupe, za restore pa nas (zaenkrat) ne briga".

Gwanaroth je 30. nov 2023 ob 10:11 izjavil:

Se strinjam. Velik problem je še, ko moraš v podjetju bekapirat različne stvari.. virtualce, fajle, baze, računalnike zaposlenih, razne SaaS pri katerih ti vendor zagotavlja le delovanje aplikacije, ne varuje pa tvojih podatkov (ala MS 365).

Kako to vse učinkovito bekapirat je uganka.. pa dedupe, pa 3-2-1, pa gdpr.. Bi rabli imet kar enga "backup operatorja" zaposlenga, kar je čez lužo dokaj stalna praksa, pri nas pa.. "sej mamo backupe, za restore pa nas (zaenkrat) ne briga".

Z razlogom se imenuje "backup software" in ne "restore software"

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...

PacificBlue je 30. nov 2023 ob 11:02 izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...

Možne teorije zarote:
- manjši poskus po spremljanju https prometa, skladno s predlagano direktivo EU, ki bo izdajalce cert. prisilila, da predajo ključe do svojega kraljestva.
- američani menjajo opremo za prestreganje komunikacij na SIX-u.
- vezano na HSE je Halcom preklical cele šope ključev, kar je povzročilo, da so nekatere ustanove pocepale dol.

darkolord je 30. nov 2023 ob 11:54 izjavil:

Gwanaroth je 30. nov 2023 ob 07:12 izjavil:

Samo intermezzo glede backupov - tole poglejte: https://cloudbackup.si/

AWS-based all-in-one cloud backup vsega boga.

Sem delal disaster recovery po ransom napadu v podjetju s 70 zaposlenimi (20 TB podatkov, kup virtualcev, baz...). 2 dni so bili down, toliko da smo na novo dvignili sisteme na serverjih, restore je bil nato narejen v parih urah.

OK, ampak če je bil restore narejen v par urah, definitivno ni bilo restoranih 20 TB.

Maš prav, sem preveč posplošeno rekel. Virtualke, mssql in taglavni fileserver je bil "takoj" - par ur iz warm storagea, prek pol gigabitne Softnet optike, serverji z enterprise Intel SSDji. Težki arhivski NAS smo pa potem pustili restorat iz cold storagea. Point je, da je bila firma spet up and running v zelo kratkem času, z zelo nizkimi RTO/RPO.

c3p0 je 30. nov 2023 ob 12:59 izjavil:

PacificBlue je 30. nov 2023 ob 11:02 izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...

Morda pa se bodo politiki naklonjena IT podjetja končno prepucala iz JU, na škodo vseh ostalih. Aja, živim v SLO, vse bo po starem, prodali bodo nove enterprise rešitve, "še boljše, tokrat gre zares", ki pa jih spet nihče ne bo znal pravilno nastavit. Mi pa še revnejši.

Zunanja podjetja bodo se naprej dobivala zajetna narocila/pogodbe.

Medtem bo JS se naprej zaposloval IT kader za placo dobrega jurja.
Zgolj dva primera:
https://www.gov.si/zbirke/delovna-mesta...
https://www.ess.gov.si/iskalci-zaposlit...

bajsibajsi je 29. nov 2023 ob 02:10 izjavil:

raceboy je 27. nov 2023 ob 18:58 izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Brez zamere, ampak tebi se sanja ne kako delujejo veliki sistemi (pri nas). HSE ima nekaj tisoc zaposlenih, en kup podjetij, razne informacijske sisteme, baze, programe itd. Podjetje ima zgodovino (kar pomeni, da zagotovo ne ureja vse en IS npr. SAP, ampak imajo mnozico specificne programske opreme).
Ne vem kaj dejansko vse obsega "napad", niti nisem podrobno bral, ampak ce obsega celotno druzbo, ne le maticno podjetje, so konkretno v sranju.

Tudi ce imas zgledno kreirane varnostne kopije, v tako veliki firmi ob resnem ransomwaru nikoli ne bos povrnil vseh podatkih. Govorimo o strezniskem okolju in user masinah.

Ko v kasnejsem postu omenjas Synology, to samo potrjuje moj prvi stavek. Pa to ni kritika, se manj zalitev, ampak ce imas priloznost si kdaj kje oglej kaj vse zajemajo res veliki sistemi (veliki za Slovenijo).
Da veliko podjetje sploh pride blizu ustreznega upravljanja z varnostnimi kopijami je potrebno predhodno urediti, ne le tehnicno, ampak vrsto drugih, tudi financnih in organizacijskih, aspektov.

Brez zamere, ampak tebi se ne sanja, kako delujejo delujejo veliki sistemi pri nas in v tujini. Ko sem še jaz delal za veliko firmo, je bilo na cca 12 poslovnih enotah backup strežnik, na vsaki enoti svoj, bacup vsega je bil narejen. Bare-metal image od delovnih postaj je bil narejen na vsakih 6 mesecev, inkrementalni backupi sistemskga dela vsak mesec, uporabniških podatkov vsako uro. Vse na DLT trakove in diske.
Na centrali je bila, verjetno je še, robotska knjižnica, ranga 30 kvadratih metrov, po spominu, z naloženimi decki DLT trakov. Delal se je restore day-1 vsak dan.
To je bilo pri nas, sigurno tam okrog leta 2002.

Kjer delam zdaj, imajo etažo s trakovi in diski, za več staging backup. Računski center je v Luxemburgu.

Sploh ne razumem, kako se je to lolekom lahko zgodilo. Mi smo že leta 2002 imeli IPS (Intrsion Prevention System), takrat si rabil eno posebno kartico, "kalkulator", da si se z OTP prijavil na sistem kot admin. Že samo da se je uporabnik prijavil na delovno postajo ob čudnem času, je bil alarm.

Jaz ne vem no. Saj razumem, da se vse živo zgodi, samo to meji na malomarnost.

bciciban je 29. nov 2023 ob 22:50 izjavil:

Verjetno se ne trudijo odklenit datotek ampak restavrirajo sistem.
Da pa toliko časa traja pa verjetno kaže da so imeli slab sistem backupa, ali pa so jim ga tudi vsaj deloma zakriptirali.

Osebno poznam ljudi, ki so pri enem večjem podjetju pomagali vzpostavit IT sistem nazaj po napadu, ko so jim zašifrirali vse razen kaset. En teden je trajalo da so vzpostavili osnovno delovanje in en mesec da so bili polno operativni.

Šele ko delaš enkrat polni restore vsega, ugotoviš kako slabe backupe imaš in kako nedorečeno restore procedure.

LTO 7 je že leta 2015 zmogel preko 1TB na uro. Za večje hitrosti rabiš pa namenske SSD diske namenjene samo za arhiviranje - niti ne tako velikih. Govorim za win OS. Tako da ne vem kaj točno so delali en teden.

Kasete so poceni cca 50€ na kos in jo enostavno odneseš v trezor banke vsak dan itd...

Poleg tega se redno delajo še testni restore sistemov in kritičnih funkcij.

Največji problem je ponavadi najti od kje je napad prišel in tu precej pomaga dodaten backup vseh event logov na xxx čas. Ki sem jih jaz za razliko od vseh ostalih imel. Ker je bilo precej lažje ugotoviti zakaj arhiviranje ne deluje v 95%+ primerov zaradi raznoraznih mag. doc. itd ljudi. Pač idioti z diplomami - kot jaz temu pravim.

pegasus je 30. nov 2023 ob 20:01 izjavil:

AngelOfDeath je 30. nov 2023 ob 19:56 izjavil:

arhiviranje ne deluje v 95%+ primerov zaradi raznoraznih mag. doc. itd ljudi. Pač idioti z diplomami

Hehe, zdaj si pa predstavljal backupirat petabajte na teden v ustanovi s 1000+ osebki svetovne znanstvene smetane.

Vse se da rešit in poenostavit (:

samo € rabiš :)

Odpri novo temo.

Ampak to dvoje ni povezano. Backup infrastruktura v letu 2002 - in še do le nekaj let nazaj - je bila primarno namenjena kot zaščita pred hardverskimi izpadi. Tudi tisto, kar je pred nekaj leti bilo vse po reglcih, najboljše prakse, itd, je za izsiljevalske grožnje hitro postalo ničvredno.

Tako kot ti vseh 100 varnostnih sistemov v avtomobilu čisto nič ne pomaga, če te nekdo namenoma s ceste zrine v prepad.

Glede na to, kar se jim je zgodilo, je malo naivno pričakovati, da so backupi neokuženi.
Verjetno se tega zavedajo tudi tisti, ki hočejo denar od njih.

bbbbbb2015 je 30. nov 2023 ob 19:02 izjavil:

bajsibajsi je 29. nov 2023 ob 02:10 izjavil:

raceboy je 27. nov 2023 ob 18:58 izjavil:

ce imas pravilno nastavljen backup te te stvari skoraj ne morejo zmotiti.

Brez zamere, ampak tebi se sanja ne kako delujejo veliki sistemi (pri nas). HSE ima nekaj tisoc zaposlenih, en kup podjetij, razne informacijske sisteme, baze, programe itd. Podjetje ima zgodovino (kar pomeni, da zagotovo ne ureja vse en IS npr. SAP, ampak imajo mnozico specificne programske opreme).
Ne vem kaj dejansko vse obsega "napad", niti nisem podrobno bral, ampak ce obsega celotno druzbo, ne le maticno podjetje, so konkretno v sranju.

Tudi ce imas zgledno kreirane varnostne kopije, v tako veliki firmi ob resnem ransomwaru nikoli ne bos povrnil vseh podatkih. Govorimo o strezniskem okolju in user masinah.

Ko v kasnejsem postu omenjas Synology, to samo potrjuje moj prvi stavek. Pa to ni kritika, se manj zalitev, ampak ce imas priloznost si kdaj kje oglej kaj vse zajemajo res veliki sistemi (veliki za Slovenijo).
Da veliko podjetje sploh pride blizu ustreznega upravljanja z varnostnimi kopijami je potrebno predhodno urediti, ne le tehnicno, ampak vrsto drugih, tudi financnih in organizacijskih, aspektov.

Brez zamere, ampak tebi se ne sanja, kako delujejo delujejo veliki sistemi pri nas in v tujini. Ko sem še jaz delal za veliko firmo, je bilo na cca 12 poslovnih enotah backup strežnik, na vsaki enoti svoj, bacup vsega je bil narejen. Bare-metal image od delovnih postaj je bil narejen na vsakih 6 mesecev, inkrementalni backupi sistemskga dela vsak mesec, uporabniških podatkov vsako uro. Vse na DLT trakove in diske.
Na centrali je bila, verjetno je še, robotska knjižnica, ranga 30 kvadratih metrov, po spominu, z naloženimi decki DLT trakov. Delal se je restore day-1 vsak dan.
To je bilo pri nas, sigurno tam okrog leta 2002.

Kjer delam zdaj, imajo etažo s trakovi in diski, za več staging backup. Računski center je v Luxemburgu.

Sploh ne razumem, kako se je to lolekom lahko zgodilo. Mi smo že leta 2002 imeli IPS (Intrsion Prevention System), takrat si rabil eno posebno kartico, "kalkulator", da si se z OTP prijavil na sistem kot admin. Že samo da se je uporabnik prijavil na delovno postajo ob čudnem času, je bil alarm.

Jaz ne vem no. Saj razumem, da se vse živo zgodi, samo to meji na malomarnost.

Zelo se mi sanja, pa zategadelj ne bom razlagal, kako smo to delali v 90-tih v Mariboru in podobne storije.
Saj te je zanimivo brati, tudi v drugih temah, je pa smesno, kako je pri tebi vedno vse v superlativih. Daj postavi se na realna tla, ce veliko podjetje pokasira ransomware, ima veliko sranje - pa kakorkoli zelis obrniti.

Tudi ce imas 100% backup vsega, kar se procesira v velikem podjetju, pa nimas, je cela stala vse obnoviti nazaj oz. lahko na to kar pozabis.
Sam pravtako delam v IT-ju za podjetje, ki je precej vecje od HSE, se dela backup na trak na vec 100km oddaljeni lokaciji, pa zato ne bom meril s tabo dolzine oneta. Ampak ok, ce ti pravis, da je simple, pa ze mora biti nekaj na temu. Cudno, da je toliko podjetij po svetu (tudi pri nas Revoz) raje (tajno) placalo odklep, kot pa delalo restore.

Plačat bi morala bit zadnja možna opcija, če sploh, ker:

- delaš s kriminalci
- lahko kriminalcu zaupaš, da boš sploh kaj dobil?
- kako veš, da ni okužil še kakega firmwareja, backdoora
- vedno lahko ponovi vajo, postaneš bankomat

Je pa res da, ko se zgodi, je štala že tu. Sanirat, zunanji postmortem report, analiza stanja in po potrebi menjat IT team.

Sedaj sem sel gledat ta delovna mesta in plačilni razred. Potem sem pogledal vse plačilne razrede in se vprašal, kaj te to je? 41 plačilni razred??? Pa menda imajo v Lidlu boljše plače.

bajsibajsi je 30. nov 2023 ob 16:52 izjavil:

c3p0 je 30. nov 2023 ob 12:59 izjavil:

PacificBlue je 30. nov 2023 ob 11:02 izjavil:

Kaj se dogaja?

https://www.rtvslo.si/slovenija/steviln...

Morda pa se bodo politiki naklonjena IT podjetja končno prepucala iz JU, na škodo vseh ostalih. Aja, živim v SLO, vse bo po starem, prodali bodo nove enterprise rešitve, "še boljše, tokrat gre zares", ki pa jih spet nihče ne bo znal pravilno nastavit. Mi pa še revnejši.

Zunanja podjetja bodo se naprej dobivala zajetna narocila/pogodbe.

Medtem bo JS se naprej zaposloval IT kader za placo dobrega jurja.
Zgolj dva primera:
https://www.gov.si/zbirke/delovna-mesta...
https://www.ess.gov.si/iskalci-zaposlit...

Kaj bluziš? Normalno dela.
Sem šel preverit stanje pik. Vsak čas mi jih bo zmanjkalo. Moram obnoviti zalogo.

DamijanD je 1. dec 2023 ob 07:31 izjavil:

Tukaj je dosti velik problem še firmware. Tudi, če vse lepo obnoviš iz backupov, kako si lahko siguren, da nimaš problema v FW od mrežne ali diska...

Društvo teoretičara, pomirite se. To je persen.

c3p0 je 1. dec 2023 ob 07:39 izjavil:

Plačat bi morala bit zadnja možna opcija, če sploh, ker:

- delaš s kriminalci
- lahko kriminalcu zaupaš, da boš sploh kaj dobil?
- kako veš, da ni okužil še kakega firmwareja, backdoora
- vedno lahko ponovi vajo, postaneš bankomat

Je pa res da, ko se zgodi, je štala že tu. Sanirat, zunanji postmortem report, analiza stanja in po potrebi menjat IT team.

Ti si ziher vse FRPje preigral z lawful good characterjem, kajne?

Pol stvari, ki si jih naštel seveda drži, ampak treba je razumeti, da je lopovom tukaj cilj dobiček, ne da te tako zatolčejo v poden, da ne bi mogel plačati. Že dolgo nudijo tudi tehnično podporo za orodje za dekripcijo, če ne gre drugače tudi po telefonu.

Kriminalci niso samo tisti s kapuco čez glavo, eni nosijo tudi kravate, kar poglej tistega direktorja HSe, ki je pridelal pol mrd EUR minusa, ko je vnaprej prodal fiksne kapacitete HE, ker ni vedel, da imamo poleti lahko sušo, potem pa je prodano moral kupovati na trgu Toliko nas hekerji ne bodo koštali v 100 letih...

Običajno se po post mortem pregledu pokaže, da je šlo hudo narobe na vsaj 10 koncih, in da je pravi čudež, da te pi*darija ni počakala že pred desetimi leti...