Trzech elegancko ubranych mężczyzn zapakowało bagaże do czarnego coupe i ruszyło do centrum jednego z dużych europejskich miast. Dotarli do hotelu, rozładowali bagaż i zameldowali się w nim, aby go zhakować. Ale w jaki sposób!
Hakerzy zazwyczaj celują w instytucje finansowe lub sieci sklepów. To jasne – gdzie są pieniądze, tam są hakerzy. Hotele wydają się być mniej oczywistym celem ich ataków, ale co zaskakujące, hakowane są one prawie tak często jak przed chwilą wspomniane. Dlaczego? Z powodu cennych danych, które przez nie przechodzą, m.in. z kart kredytowych oraz wszelkiego rodzaju tajemnice handlowe.
Dotychczas słyszało się o tym, jak złodzieje atakowali elektroniczne zamki drzwi, by włamywać się do pokoi czy wykorzystywali złośliwe oprogramowanie do ataków na terminale płatnicze w czasie rzeczywistym. Wykorzystywali nawet Wi-Fi do przechwytywania wewnętrznych sieci hoteli w poszukiwaniu danych korporacyjnych. Prawie wszyscy główni gracze w branży zgłosili tego typu naruszenia, w tym Hilton Worldwide Holdings, InterContinental Hotels Group i Hyatt Hotels. Próba ataku, którą opisujemy, jest jednak dużo bardziej kreatywna.
Hakerzy wykorzystali zasłony…. podłączone do internetu
Lider grupy zarejestrował się na recepcji. Jeden z jego współpracowników przechadzał się po jej obszarze, zauważając, że nieruchomość korzysta z przestarzałego systemu POS, a inny w tym czasie używał aplikacji mobilnej o nazwie “Fing”, służącej do skanowania w poszukiwaniu ukrytych sieci. W oczekiwaniu na przygotowanie pokoju przez obsługę, hakerzy wypili kawę na tarasie. Otworzyli kod strony internetowej hotelu i wykorzystali przestarzałą wtyczkę do sporządzenia listy nazwisk administratorów.
Oczywiście, mogli wsunąć pendrive do pozostawionego bez opieki urządzenia POS na drugim końcu baru restauracyjnego i zapisywać numery kart kredytowych do momentu, aż ktoś zauważy urządzenie. Ale podnieśli sobie poprzeczkę wyżej – woleli znaleźć drogę do hotelowego systemu zarządzania nieruchomościami (PMS), który te wykorzystują do dokonywania rezerwacji, wydawania kluczy do pokoi i przechowywania danych z kart kredytowych.
Kiedy dotarli do swojego pokoju, skoncentrowali się zatem na znalezieniu wewnętrznej sieci hotelowej – tej, z której korzystają pracownicy. W jednym ze słynnych przykładów hakerzy naruszyli podłączony do Internetu zbiornik na ryby w lobby kasyna w Las Vegas i wykorzystali go do znalezienia bazy danych hazardzistów w wewnętrznej sieci nieruchomości. Ale pokój, w którym się znaleźli nie był tak nowoczesny jak wspomniane lobby – wyposażony był jedynie w stary telefon i telewizor oraz standardowy minibar. Nie było w nim nawet sieci dla gości. Wtedy jeden z hakerów zaczął grzebać w ramie okna. W górnym rogu znajdował się port internetowy, zaprojektowany tak, aby goście mogli otwierać i zamykać zasłony za pomocą pilota. “Tędy dostaniemy się do środka”, powiedział lider.
Jak powiedział, tak zrobił. Choć podłączona do Internetu zasłona nie doprowadziła hakerów do hotelowego PMS, to była dla zespołu tropem w poszukiwaniu innych połączeń. Jeden z hakerów wciągnął krzesło do przedsionka i wyważył nimi panel sufitu, odkrywając podłączenie do sieci. Inny znalazł port internetowy na górze szafy. Poprosili obsługę o drabinę, podłączyli swojego laptopa do sieci tam się znajdującej, używając narzędzia skanera sieciowego do wyszukiwania adresów IP. Dzięki temu stali się “właścicielami” PMS.
Dobrze, że “hakerzy” okazali się jedynie konsultantami IT, sfrustrowanymi podejściem hoteli do kwestii cyberbezpieczeństwa, a próba ataku została zaaranżowana. Nie wszyscy jednak mieli tyle szczęścia…
Niewiele jest historii z happy endem, czyli atak na Marriotta
Żadna ilość zabezpieczeń nie uratowałaby podróżnych przed masowym atakiem odkrytym przez Marriott International Inc. w zeszłym roku. Na początku września 2018 r. automatyczne narzędzie zabezpieczające oznaczyło podejrzane zapytanie w bazie danych rezerwacji Starwood Hotels & Resorts Worldwide Inc. W kolejnych tygodniach śledczy odkryli trojana zdalnego dostępu (RAT) – oprogramowanie, które pozwala hakerom przejąć kontrolę nad komputerem docelowym, a także inny złośliwy program, który przeszukuje pamięć komputera w poszukiwaniu nazw użytkowników i haseł. Wskazówki pozostawione przez cyfrowych złodziei sugerują, że uciekli z aż 383 milionami rekordów gości, a także ponad 5 milionami niezaszyfrowanych numerów paszportów i ponad 9 milionami zaszyfrowanych kart płatniczych.
Hotel nie znalazł żadnych dowodów na to, że dane klientów pojawiły się na sprzedaż w darknecie, czyli czarnym hakerskim rynku – powiedział Arne Sorenson, dyrektor generalny Marriotta. Wydawałoby się, że to dobra wiadomość, ale w rzeczywistości taką nie jest. Według ekspertów ds. bezpieczeństwa brak intencji handlowych wskazuje na to, że atak został przeprowadzony przez rząd, który może wykorzystać te dane do ekstrapolacji informacji o politykach, zasobach wywiadowczych i liderach biznesu.
Grzeszki branży hotelarskiej
Firmy takie jak Marriott i Hilton są odpowiedzialne za zabezpieczenie swoich baz danych, w których przechowują informacje o rezerwacjach i programach lojalnościowych. Ale zadanie ochrony zamków elektronicznych lub Wi-Fi dla gości w indywidualnym obiekcie spoczywa na inwestorach, którzy są właścicielami hoteli. Wielu z nich działa na niskich marżach i wolałaby raczej wydawać pieniądze na rzeczy, które ich klienci faktycznie widzą, takie jak nowe wykładziny dywanowe lub nowoczesne telewizory. W rezultacie powstaje nieporządny informatyczny ekosystem, który działa na starym oprogramowaniu. A hakerzy tylko zacierają ręce.
Ku przestrodze
Grupa informatyków wykorzystała moment i oprócz ataku na hotelowy system postanowiła… utworzyć niezabezpieczony hotspot, nazywający się tak samo jak hotel. Wystarczyła sekunda, a do ich sieci podłączyło się aż sześciu użytkowników. Co, gdyby okazało się, że zrobili to cyfrowi złodzieje? Dalszy scenariusz każdy z nas może dopisać sobie sam.
DB
Źródło: bloomberg.com