Hekerski napad na POP TV

Včeraj so na 24ur objavili zelo kratek članek z naslovom Naša medijska hiša je bila žrtev hekerskega napada.

V članku ne piše nič konkretnega (zanimivo, v drugih primerih so zelo ažurni in izčrpni pri poročanju ), Žurnal pa poroča, , da "po naših neuradnih informacijah so napad na medijsko hišo Pro Plus izvedli hekerji iz tujine, za vzpostavitev normalnega stanja pa naj bi zahtevali visoko denarno odškodnino.".

Siol je poročal tudi, da naj bi eden zaposleni odprl mail priponko... in sledil je game over.

Vse to kaže, da gre za klasičen napad s cryptolockerjem. Kolikor slišim od svojih virov, je zadeva kar resna, težave imajo še danes, predvsem pa naj bi bili zaklenjeni tudi backupi. Kar je - milo rečeno - katastrofa.

Dejstvo je, da se taki napadi dogajajo in da je na to treba biti pripravljen. Jaz tudi ne bi krivil zaposlenega, ki je kliknil na priponko. Normalno, da če je novinar, ki dobi nek PDF ali DOCX in mu nekdo pošilja "zaupne dokumente", da bo kliknil in odprl. Razni nasveti "ne odpirat sumljivih ali neznanih priponk" so seveda oslarija, takih priporočil v realnem življenju ni mogoče uveljaviti.

Seveda bi lahko tudi ITjevci naredili več, ampak mislim, da se na koncu vse konča pri denarju.

Sicer situacije na POP TV ne poznam, ampak na splošno v Sloveniji velja, da je IT zgolj strošek, stroški so pa zato, da se režejo, kajne?

Kolega, ki situacijo zdajle aktivno spremlja je komentiral z besedami: "Pa so šli vsi dolgoletni prihranki v IT".

Ma pomojem javnost vsaj ne širša, ne bo občutila da so down, vsaj ne bo nekih novih kvazi afer serviranih vsakih 45 minut z novim naslovom članka. Mal počitka pa bo okay.

Kar tako naprej. Še več takih napadov.

Saj IT je samo strošek. Zelo podoben je birokraciji. Več denarja mečeš vanj, več ga bo rabil v prihodnje in manj vrednosti ti bo ponujal v zameno.
To, da backup ni odporen na nek random cryptolocker pač nima veze s količino denarja v igri. Tak backup ponuja vsak "off-the-shelf" NAS za 500 EUR. Gre za princip "če se do sedaj ni nič zgodilo, se itak ne bo."
Ni koreliran z denarjem, zgolj s tem da je 99% IT osebja retardov, ki živijo še v časih, ko je bila največja grožnja IT sistemu snažilka, ki je lahko iztaknila kabel.

RedDrake je 9. feb 2022 ob 11:25 izjavil:

Saj IT je samo strošek. Zelo podoben je birokraciji. Več denarja mečeš vanj, več ga bo rabil v prihodnje in manj vrednosti ti bo ponujal v zameno.
To, da backup ni odporen na nek random cryptolocker pač nima veze s količino denarja v igri. Tak backup ponuja vsak "off-the-shelf" NAS za 500 EUR. Gre za princip "če se do sedaj ni nič zgodilo, se itak ne bo."
Ni koreliran z denarjem, zgolj s tem da je 99% IT osebja retardov, ki živijo še v časih, ko je bila največja grožnja IT sistemu snažilka, ki je lahko iztaknila kabel.

Odličen opis zakaj je uh me piši odnos do IT in varnosti recept za katastrofo. Če si nekdo domišlja, da je IT samo skupek lenih retardov in v corporate okolju sanja o 500 EUR off the shelf storitvah, potem je nastala situacija samo vprašanje časa.

Pravite, da so jim zaklenili tudi backupe... pa kaj jim bodo - včasih pozabijo kaj so nabijali dan prej.

mtosev je 9. feb 2022 ob 11:29 izjavil:

mr_chai je 9. feb 2022 ob 11:03 izjavil:

Kar tako naprej. Še več takih napadov.

Čestitke za odličen komentar. Upam, da tebe pohackajo.

Ni edini, tudi jaz mislim, da so si zaslužili ;). Naj mrhovinar mrhovinarja poje. Opozorilo tudi ostalim takšnim in drugačnim

Nobenemu ne privoščim, da ga napadejo in da ima probleme.

Privoščim pa ljudem (ljudstvu) malo miru pred temi ljudmi, če bo okrnjen program. Namreč sejejo zelo velike težave. In delajo slabe stvari s svojim poročanjem.

#000000 je 9. feb 2022 ob 10:56 izjavil:

Ma pomojem javnost vsaj ne širša, ne bo občutila da so down, vsaj ne bo nekih novih kvazi afer serviranih vsakih 45 minut z novim naslovom članka. Mal počitka pa bo okay.

Vsak, ki je včeraj gledal kaj za nazaj od POPtv je občutil, ker je bilo vse časovno narobe izrezano.

Pop TV offline ?
No harm done.

A so bili severnokorejci ?

Meni je pa zanimivo to, da na spletni strani objavljajo novice, ampak nobene novice od kovida ni objavljene. So jim hekerji zagrozili, da za novice o kovidu pridejo dodatne sankcije?

pegasus je 9. feb 2022 ob 11:53 izjavil:

Imajo odlično priložnost za posnet unikaten resničnostni show! :D

In to komedijo...!

RedDrake je 9. feb 2022 ob 11:56 izjavil:

Jasno da je v "corporate" okolju govora o večjih zneskih, ker pač ne bekapiramo ravno 10TB domače pr0n zbirke, ampak če niso uspeli niti SOHO-level reštive implementirati, potem je očitno, da so tam leni retardi, ki ne počnejo ničesar.

"Uh me piši odnos do IT in varnosti" ima 99% IT kadra. Ker če ga nima, in jamra, da "šefi" ne dajo denarja, potem pač ne znajo predstaviti nevarnosti šefu in so v "retard" kategoriji.

Delno se strinjam s tem.

Sicer tipična napaka je, da se v backup postavi samo par "strežnikov" in potem smo kao zaščiteni.

POP TV ima množico novinarjev, sodelavcev, itd. Če ransomware zadene njihove prenosnike je to katastrofa, ker ljudje ne morejo več opravljati svojega dela.

Situacija je po moje taka: veliko sodelavcev je honorarcev (prekarni delavci), uveljavljeno imajo politiko BYOD (bring your own device), kar pomeni, da jim gor ne moreš vsiljevati neke hude varnostne politike. Posledično imaš kup ranljivih naprav... po možnosti se te naprave ne backupirajo! Pa tudi če se, je problem kako boš to izvedel, ker bi morali biti ljudje z napravami v lokalnem omrežju (da se tja dela backup), ali pa imeti VPN.

Pa tudi če bi se zadeve backupirale, je težava, ker gotovo nimajo izdelanega postopkovnika za hiter restore podatkov. Predstavljaj si, da po čudežu imaš full backupe za vse uporabnike, pa se ti v roku dveh ur na vrata IT oddelka nariše 100+ ljudi, ki bi radi da se naredi restore. No-go.

Jaz sem kar nekaj časa za neko manjšo firmo vzdrževal njihovo celotni IT infrastrukturo in sem uvedel par zadev:
- vse dokumente so morali shranjevati na lokalni NAS;
- full inkrementalni backup se je delal za vse računalnike na ta NAS;
- dostop je bil preko LAN-a ali preko VPN (za backup in shared mape na NAS-u);
- NAS je imel dva voluma in še zunanji disk, uporabniki so imeli dostop do enega voluma, podatki iz tega voluma pa so se inkrementalno backupirali na drugi volume in na zunanji disk;
- za vsakega uporabnika (in za shared mape) sem imel live USB + točen scenarij kako narediti restore.

Sicer je firma hudo škrtarila pri stroških za IT in je bila ta varianta bolj klošarska (sam bi raje imel dva ločena NAS-a, po možnosti na zunanji lokaciji, ali pa še dodatno backup v encrypted cloud, ampak OK).

Ko se je zgodilo, da je prišlo do izgube podatkov sem lahko full restore naredil v zelo kratkem času.

Seveda pa zelo pomaga ustrezna segmentacija omrežja, kakšen pameten firewall, da je on-site kakšen PiKVM, itd... Jaz sem imel segmentacijo omrežja narejeno, za kakšen IDS seveda ni bilo denarja. Pa seveda VPN, in da je management vseh mašin dostopen preko VPN.

Skratka, da se, ampak ko je organizacija dovolj velika in pride do večje katastrofe, imaš problem.

Tudi, če je vse postavljeno kot je treba in se ti v dveh urah na vrata nariše 100+ ljudi, ki bi radi naredili restore... boš rabil kar konkretno ekipo in konkreten čas, da se bo restore naredil.

jim privoščim!

Zdaj je na vrsti slovenski del A1.
https://www.facebook.com/A1Hrvatska/pos...

Večji IT imajo kakšen večji array diskov, SAN in pa še kak LTO ipd. offline backup, morda še kak encrypted cloud, če le pipica dopušča. Tudi online backupi pa seveda nikoli niso dosegljivi direktno preko CIFS/NFS, to je lahko le lenost ali nesposobnost, morda kombinacija obojega.

Še manjše stranke, ki jih servisiram imajo podobno urejeno in je ransomware šel mimo le kot slab zadah.

poweroff je 9. feb 2022 ob 14:05 izjavil:

Delno se strinjam s tem.

Sicer tipična napaka je, da se v backup postavi samo par "strežnikov" in potem smo kao zaščiteni.

POP TV ima množico novinarjev, sodelavcev, itd. Če ransomware zadene njihove prenosnike je to katastrofa, ker ljudje ne morejo več opravljati svojega dela.

Situacija je po moje taka: veliko sodelavcev je honorarcev (prekarni delavci), uveljavljeno imajo politiko BYOD (bring your own device), kar pomeni, da jim gor ne moreš vsiljevati neke hude varnostne politike. Posledično imaš kup ranljivih naprav... po možnosti se te naprave ne backupirajo! Pa tudi če se, je problem kako boš to izvedel, ker bi morali biti ljudje z napravami v lokalnem omrežju (da se tja dela backup), ali pa imeti VPN.

Pa tudi če bi se zadeve backupirale, je težava, ker gotovo nimajo izdelanega postopkovnika za hiter restore podatkov. Predstavljaj si, da po čudežu imaš full backupe za vse uporabnike, pa se ti v roku dveh ur na vrata IT oddelka nariše 100+ ljudi, ki bi radi da se naredi restore. No-go.

Jaz sem kar nekaj časa za neko manjšo firmo vzdrževal njihovo celotni IT infrastrukturo in sem uvedel par zadev:
- vse dokumente so morali shranjevati na lokalni NAS;
- full inkrementalni backup se je delal za vse računalnike na ta NAS;
- dostop je bil preko LAN-a ali preko VPN (za backup in shared mape na NAS-u);
- NAS je imel dva voluma in še zunanji disk, uporabniki so imeli dostop do enega voluma, podatki iz tega voluma pa so se inkrementalno backupirali na drugi volume in na zunanji disk;
- za vsakega uporabnika (in za shared mape) sem imel live USB + točen scenarij kako narediti restore.

Sicer je firma hudo škrtarila pri stroških za IT in je bila ta varianta bolj klošarska (sam bi raje imel dva ločena NAS-a, po možnosti na zunanji lokaciji, ali pa še dodatno backup v encrypted cloud, ampak OK).

Ko se je zgodilo, da je prišlo do izgube podatkov sem lahko full restore naredil v zelo kratkem času.

Seveda pa zelo pomaga ustrezna segmentacija omrežja, kakšen pameten firewall, da je on-site kakšen PiKVM, itd... Jaz sem imel segmentacijo omrežja narejeno, za kakšen IDS seveda ni bilo denarja. Pa seveda VPN, in da je management vseh mašin dostopen preko VPN.

Skratka, da se, ampak ko je organizacija dovolj velika in pride do večje katastrofe, imaš problem.

Tudi, če je vse postavljeno kot je treba in se ti v dveh urah na vrata nariše 100+ ljudi, ki bi radi naredili restore... boš rabil kar konkretno ekipo in konkreten čas, da se bo restore naredil.

Se zelo strinjam in popolnoma razumem tvoj pogled.
Ampak izpad njihove kritične infrastrukture (nezmožnost oddajanja oddaj, nezmožnost prenosa v živo, nezmožnost marsičesa) ne implicira, da je težava v laptopih novinarjev, ampak na strežniškem delu. In tu se pojavljajo vprašanja, na katere bi morali znati odgovoriti vsi, ki so v IT, kot na primer:
- zakaj je možno pognati ransomware na strežniku?
- če ga ni možno pognati na strežniku, zakaj ni strežniški del omrežja popolnoma ločen od uporabniškega?
- zakaj ni strežniški del pripravljen na katastrofalno odpoved?

Đizs no, to so osnove.

RedDrake je 9. feb 2022 ob 15:18 izjavil:

In tu se pojavljajo vprašanja, na katere bi morali znati odgovoriti vsi, ki so v IT, kot na primer:
- zakaj je možno pognati ransomware na strežniku?
- če ga ni možno pognati na strežniku, zakaj ni strežniški del omrežja popolnoma ločen od uporabniškega?
- zakaj ni strežniški del pripravljen na katastrofalno odpoved?

Đizs no, to so osnove.

Na koncu "everything boils down to basics".

Sicer odgovor na tvoja Captain Obvious vprašanja ni niti najmanj enostaven, ker na primer:
- dovolj sofisticiran in targetiran ransomware (npr. 0day) je precej bolj možno pognati od nečesa generičnega
- če je strežniški del POPOLNOMA ločen od uporabniškega, potem je neuporaben, ker uporabniki ne morejo nič početi
- če ti pade Tsar Bomba na bajto, boš težko zagotovil pripravljenost na katastrofalno odpoved tega tipa

LightBit je 9. feb 2022 ob 14:54 izjavil:

Jaz doma na off-line HDD kopiram (sinhroniziram z rsync). Če je odklopljeno je najbolj zaščiteno, verjamem pa da ni praktično za večje infrastrukture.

Ma, saj se da narediti drugače.

Imaš lokacijo A in lokacijo B. Na lokaciji A je NAS_A - tja gor uporabniki in serverji delajo backupe.

Na lokaciji B je NAS_B, ki se poveže na NAS_A (on se poveže, ne obratno), in potegne dol kopijo ter jo inkrementalno shrani. Potem lahko ta NAS_B pushne podatke še v kriptiran cloud.

Če pride do clusterfucka, imaš za hitro obnovo podatkov na voljo NAS_A. Če pride do večjega clusterfucka in je odletel tudi NAS_A, lahko podatke še vedno obnoviš iz NAS_B. V skrajnem primeru pa iz clouda (če recimo pade Tsar bomba).

Sicer potem je treba razmišljat še naprej in se dogovoriti kje boš imel rezervni hardware in/ali rezervno lokacijo. Pa do kakšne mere implemenirati high availability sisteme.

Ampak vsaj za eno finančno ustanovo vem, da ima zadeve lepo podvojene, v primeru totalnega sranja imajo pa pogodbo z nekaj šolami, da se njihovi zaposleni lahko za par tednov preselijo v njihove računalniške učilnice in tam nadaljujejo z delom.

Pa še enkrat - tukaj govorimo o novinarjih, ki so tehnično neuki (kar je normalno, in ni prav, da je predmet posmeha). Poleg tega je prva naloga vsakega IT sistema, da je uporaben za svoje uporabnike, varnost je šele na drugem mestu. Zato kompletno air-gapped sistemov razen za zelo specifična okolja ne moreš postavljati.

LightBit je 9. feb 2022 ob 14:54 izjavil:

poweroff je 9. feb 2022 ob 14:05 izjavil:

Jaz sem kar nekaj časa za neko manjšo firmo vzdrževal njihovo celotni IT infrastrukturo in sem uvedel par zadev:
- vse dokumente so morali shranjevati na lokalni NAS;
- full inkrementalni backup se je delal za vse računalnike na ta NAS;
- dostop je bil preko LAN-a ali preko VPN (za backup in shared mape na NAS-u);
- NAS je imel dva voluma in še zunanji disk, uporabniki so imeli dostop do enega voluma, podatki iz tega voluma pa so se inkrementalno backupirali na drugi volume in na zunanji disk;
- za vsakega uporabnika (in za shared mape) sem imel live USB + točen scenarij kako narediti restore.

Ali je bil zunanji disk off-line?
Jaz doma na off-line HDD kopiram (sinhroniziram z rsync). Če je odklopljeno je najbolj zaščiteno, verjamem pa da ni praktično za večje infrastrukture.

No v Avstriji vem, za dva primera.
V enem sistemu so bili več kot eno leto, v drugem pa pol leta.
Najbolj smešno pri tej temi je, da so bili oboji zavarovani za tak tip napada, in oboji so imeli v tem času varnosten revizije, ravno ker je zahevala to zavarovalnica "ker drugače ne boš zavarovan".

Šparat je treba ejga

Ne vidim škode.

Saj je le POP TV.

OK.d je 9. feb 2022 ob 14:31 izjavil:

Zdaj je na vrsti slovenski del A1.
https://www.facebook.com/A1Hrvatska/pos...

Najboljša:

Filip Fifa Jelavić
Pozdrav, jeste probali uključit i isključit? 🙂

za backup je dvd ali bliray zakon...naj kriptira, da ga vidim...

hehe, 20T bi virus obdeloval dva mesca..ampak imas point ja.

link_up je 10. feb 2022 ob 17:31 izjavil:

hehe, 20T bi virus obdeloval dva mesca..ampak imas point ja.

Pri večjih fajlih pokvari samo header oz. en del na začetku fajla.