Größtes Casino-Netzwerk in Las Vegas von iranischen Hackern gehackt

Iranische Hacker verwendeten einen 150-zeiligen Code, um das gesamte Netzwerk der Sands Corp. zu löschen

Alles, was der Mehrheitsaktionär der Las Vegas Sands Corp. tat, war, die Vereinigten Staaten aufzufordern, den Iran zu bombardieren, um sein Atomprogramm zu stoppen, und was er als Antwort erhielt, wurde zum schlimmsten Albtraum für ihn, sein Unternehmen und andere Interessengruppen.

Die Las Vegas Sands Corp. ist ein Casino-Betriebsunternehmen, das einige der größten Casinos der Welt am Las Vegas Strip betreibt, wie die Sands-, Venetian- und Palazzo-Hotels und -Casinos. Sheldon Adelson besitzt 52 Prozent der Las Vegas Sands Corp. und ist israelischer Staatsbürger. Im Oktober 2013, während er an einem Panel am Manhattan-Campus der Yeshiva University teilnahm, forderte er einen nuklearen Angriff auf den Iran, um das Land dazu zu bringen, sein eigenes Atomprogramm aufzugeben, so Bloomberg Businessweek.

„Was ich tun würde“, sagte er während des Panels, anstatt zu verhandeln, „wäre zu sagen: ‚Siehst du die Wüste dort drüben? Ich möchte dir etwas zeigen.‘ Du nimmst dein Handy und rufst irgendwo in Nebraska an und sagst: ‚Okay, lass es los.‘… Dann sagst du: ‚Siehst du? Der nächste ist mitten in Teheran.‘“ Als Antwort auf Sheldons Rede forderte der iranische Oberste Führer Ayatollah Ali Khamenei die US-Regierung auf, „diesen prahlenden Leuten ins Gesicht zu schlagen und ihre Münder zu zerquetschen“ in einer leidenschaftlichen Rede.

Drei Monate später schlugen die iranischen Hacker in das Netzwerk seiner Firma, der Las Vegas Sands Corp., ein, löschten deren Inhalte, schalteten die Festplatten, E-Mail-Server und Telefonsysteme ab.

„Unbemerkt von Sands begannen die Hacker einen Monat nach Khameneis leidenschaftlicher Rede, die Peripherie seiner Computernetzwerke zu erkunden und nach Schwachstellen zu suchen. Erst später, nach dem Angriff, konnten Ermittler die Computerprotokolle durchsehen und ihre Bewegungen rekonstruieren. Diese Details erscheinen in internen Dokumenten, die ‚Yellowstone 1‘ beschreiben, den Codenamen des Unternehmens für den Vorfall, und wurden in Interviews mit einem halben Dutzend Personen, die mit dem Vorfall und seinen Folgen vertraut sind, bestätigt. Ron Reese, ein Sprecher von Sands, lehnte es ab, spezifische Fragen zu dem Angriff zu beantworten oder Adelson zur Verfügung zu stellen.“

Inspiriert von seiner leidenschaftlichen Rede begannen die Cyber-Krieger des Iran, die Schwächen des Casino-Netzwerks zu erkunden, und starteten am 8. Januar 2014 einen Brute-Force-Angriff auf Sands Bethlehem, ein Casino und Resort mit 3.000 Spielautomaten in Bethlehem, Pennsylvania, das über eine eigene Website und ein Computernetzwerk verfügt. Von dort aus starteten die Hacker ihren ersten Angriff auf das Haupt-VPN (virtuelles privates Netzwerk) von Sands Bethlehem, das den Mitarbeitern den Zugriff auf ihre Dateien von zu Hause oder unterwegs ermöglicht.

Nachdem sie andere Netzwerke der Sands Corp. erkundet hatten, fanden die Hacker am 1. Februar eine Schwachstelle im Webentwicklungsserver, der von Sands Bethlehem verwendet wurde. Dieser Server wurde vom Casino genutzt, um ihre Webseiten vor der Veröffentlichung zu überprüfen und zu testen. Sie brachen in diesen Microsoft IIS-Entwicklungs- und Staging-Server ein und verwendeten ein offenes Tool namens mimikatz, um Benutzernamen und Passwörter zu erhalten. Nach vielen Erkundungen fanden sie die Zugangsdaten eines leitenden Systemingenieurs. Nun war das gesamte Netzwerk der Las Vegas Sands Corp. für die Hacker zugänglich. Sie erstellten dann einen 150 Zeilen langen Malware-Code in Visual Basic, um den Computer zu löschen und gleichzeitig die Details zu stehlen, ähnlich dem Sony-Hack.

„Die von ihnen geschriebene Malware ist so mächtig, dass sie nicht nur die auf Computern und Servern gespeicherten Daten löscht, sondern sie auch automatisch neu startet, ein cleverer Trick, der Daten offenlegt, die unberührt bleiben, solange eine Maschine noch läuft. Noch schlimmer ist, dass das Skript die gelöschten Festplatten mit einem zufälligen Muster aus Einsen und Nullen überschreibt, was die Daten so schwer wiederherzustellen macht, dass es kostengünstiger ist, neue Maschinen zu kaufen und die gehackten einfach wegzuwerfen.“

Die Las Vegas Sands Corp. rief sofort Dell SecureWorks zur Untersuchung und Bereinigung der Folgen des Hackerangriffs. Dell SecureWorks erklärte, dass der Hackerangriff höchstwahrscheinlich von „Hacktivisten“ aus dem Iran stammte und in keiner Weise mit der iranischen Regierung verbunden war.

Die Hacker übernahmen anscheinend die Kontrolle über das gesamte Netzwerk der Las Vegas Sands Corp. und stahlen fast alle wichtigen Dateien und Informationen, die das Netzwerk hielt, aber glücklicherweise für die Sands Corp. konnten sie das IBM-Mainframe nicht durchbrechen, sonst hätten die Gäste in den Sand-Corp.-Hotels nicht einmal ihre Hotelzimmer mit den Schlüsselkarten öffnen können.

Dann richteten sie ihre Augen auf die Websites der Sands Corp., die von einem Drittanbieter gehostet wurden und zu diesem Zeitpunkt noch online waren. Die Hacker entstellten sie, indem sie ein Foto von Adelson, der mit Netanyahu herumhängt, sowie Bilder von Flammen auf einer Karte der US-Casinos von Sands posteten. An einem Punkt veröffentlichten sie eine Mahnung: „Die Förderung des Einsatzes von Massenvernichtungswaffen, UNTER ANY BEDINGUNG, ist ein Verbrechen“, unterzeichnet mit „Anti WMD Team“. Die Hacker hinterließen auch eine Nachricht für Sheldon, die lautete: „Verdammter A, lass deine Zunge nicht deinen Hals durchschneiden.“

Dell SecureWorks und die Las Vegas Sands Corp. zählen immer noch die Schäden, die durch die Hacker verursacht wurden. Die Hacker könnten fast drei Viertel der Computer-Server des Unternehmens in Las Vegas gelöscht haben. Das Unternehmen hat geschätzt, dass dieser Hackerangriff es rund 40 Millionen Dollar oder mehr kosten könnte.

Bloomberg Businessweek hat einen fünfseitigen Artikel über diesen Hackerangriff veröffentlicht, der jeden Schritt des Hackers detailliert beschreibt. Sie können den gesamten Artikel hier lesen.

Ressource: Ars Technica