Avstrijski A1 pol leta v primežu hekerjev

Heise razkriva, da je bil vsaj od lanskega novembra avstrijski mobilni operater A1 Telekom Austria žrtev hekerskega napada. Preiskovalci so bili napadu nekaj mesecev na sledi, a so sistemsko čiščenje zaradi epidemije koronavirusa prestavili z marca na maj. To namreč ni enostaven postopek, saj so morali sočasno zamenjati gesla vseh zaposlenih, odstraniti stranska vrata v webshellu, izdati nove golden tickets za Kerberos strežnike Active Directoryja itd. Le tako so lahko zagotovili, da se napadalci ne morejo vrniti.

V zadnjih mesecih so poskrbeli, da prek okuženih sistemov niso pretakali pomembnih podatkov, hkrati pa niso smeli vzbuditi pozornosti napadalcev, je dejal vodja računalniške varnosti pri A1 Wolfgang Schwabl. Napad se je zgodil že novembra lani, in sicer je - za zdaj prek neznanega vektorja, bržkone ukradenih prijavnih podatkov - najprej doletel eno običajno delovno postajo. Od tam so se potem počasi prebijali po omrežju, najprej do prvega neustrezno zaščitenega strežnika in tako dalje. Ko se je enkrat prek okuženega strežnika prijavil domenski administrator, so dobili vse potrebne podatke za popolni nadzor mreže. A napadalci to pot niso namestili izsiljevalske programske opreme.

Kdo točno je napad iz vedel, še niso ugotovili. Digitalni podpis ni ustrezal nobeni znani skupini za tovrstne napade (APT), prav tako niso uporabljali nobenih posebej znanih orodij. Šele 22. maja so jih uspeli pregnati iz mreže. Schwabl ocenjuje, da je čiščenje v celoti uspelo, prav tako pa so izvedli ukrepe za okrepitev varnosti, med drugim dvostopenjsko preverjanje pristnosti. A1 ob tem zagotavlja, da v nobenem primeru niso odtekli podatki uporabnikov.