La red de casinos más grande de Las Vegas hackeada por hackers iraníes

Los hackers iraníes utilizaron un código de 150 líneas para eliminar toda la red de Sands Corp

Todo lo que hizo el propietario mayoritario de Las Vegas Sands Corp. fue llamar a Estados Unidos para que bombardeara Irán y detuviera su programa nuclear, y lo que recibió a cambio se convertiría en la peor pesadilla para él, su empresa y otros interesados.

Las Vegas Sands Corp. es una empresa operadora de casinos, que opera algunos de los casinos más grandes del mundo en el Strip de Las Vegas, como los hoteles y casinos Sands, Venetian y Palazzo. Y Sheldon Adelson posee el 52 por ciento de Las Vegas Sands Corp. y es residente israelí. En octubre de 2013, mientras hacía una aparición en un panel en el campus de Manhattan de la Universidad Yeshiva, pidió un ataque nuclear contra Irán para que el país abandonara su propio programa nuclear, según Bloomberg Businessweek.

“Lo que haría”, dijo durante el panel, en lugar de negociar, “sería decir: ‘¿Ves ese desierto allá? Quiero mostrarte algo.’ Tomas tu teléfono celular y llamas a algún lugar en Nebraska y dices ‘Ok, déjalo ir.’… Luego dices, ‘¿Ves? El siguiente está en medio de Teherán.” En respuesta al discurso de Sheldon, el líder supremo de Irán, el ayatolá Ali Khamenei, pidió al gobierno de EE. UU. que “abofetee a estas personas charlatanas en la boca y les aplaste la boca”, en un discurso encendido.

Tres meses después, los hackers iraníes atacaron la red de su empresa, Las Vegas Sands Corp, y eliminaron su contenido, apagaron sus discos duros, servidores de correo electrónico y sistemas telefónicos.

“Sin que Sands lo supiera, un mes después del discurso encendido de Khamenei, los hackers comenzaron a investigar el perímetro de sus redes informáticas, buscando debilidades. Solo más tarde, después del ataque, los investigadores pudieron examinar los registros informáticos y reconstruir sus movimientos. Estos detalles aparecen en documentos internos que describen ‘Yellowstone 1’, el nombre en código de la empresa para el incidente, y han sido corroborados en entrevistas con media docena de personas familiarizadas con la violación y sus consecuencias. Ron Reese, un portavoz de Sands, se negó a responder preguntas específicas sobre el ataque o a poner a Adelson a disposición.”

Inspirados por su discurso encendido, los guerreros cibernéticos de Irán comenzaron a investigar las debilidades de las redes de casinos y lanzaron un ataque de fuerza bruta el 8 de enero de 2014, en Sands Bethlehem, un casino y resort de 3,000 máquinas tragamonedas en Bethlehem, Pennsylvania, que tiene su propio sitio web y red informática. Desde allí, los hackers lanzaron su primer ataque en la red privada virtual principal de Sands Bethlehem, o VPN, que da acceso a los empleados a sus archivos desde casa o en la carretera.

Después de investigar y escudriñar otras redes de Sand Corp., los hackers encontraron una debilidad en el servidor de desarrollo web utilizado por Sands Bethlehem el 1 de febrero. Este servidor fue utilizado por el casino para revisar y probar sus páginas web antes de publicarlas. Violaron este servidor de desarrollo y puesta en escena de Microsoft IIS y utilizaron una herramienta abierta llamada mimikatz para obtener nombres de usuario y contraseñas. Después de muchas indagaciones, encontraron las credenciales de un ingeniero de sistemas senior. Ahora toda la red de Las Vegas Sands Corp. era accesible para los hackers. Luego compilaron un malware de 150 líneas en Visual Basic para eliminar la computadora y robar los detalles al mismo tiempo, al estilo del ataque de Sony.

“El malware escrito por ellos es tan poderoso que no solo elimina los datos almacenados en computadoras y servidores, sino que también los reinicia automáticamente, un truco inteligente que expone datos que son intocables mientras una máquina sigue funcionando. Aún peor, el script escribe sobre los discos duros borrados con un patrón aleatorio de unos y ceros, haciendo que los datos sean tan difíciles de recuperar que es más rentable comprar nuevas máquinas y tirar las hackeadas a la basura.”

Las Vegas Sands Corp. inmediatamente llamó a Dell SecureWorks para investigar y limpiar los efectos posteriores del ataque. Dell SecureWorks dijo que el ataque probablemente pertenecía a “hacktivistas” con sede en Irán y no estaba de ninguna manera conectado al gobierno iraní.

Los hackers aparentemente tomaron el control de toda la red de Las Vegas Sands Corp. y robaron casi todos los archivos e información importantes que la red contenía, pero afortunadamente para Sands Corp. no pudieron violar el mainframe de IBM, de lo contrario, los huéspedes de los hoteles de Sand Corp. no habrían podido abrir ni siquiera sus habitaciones de hotel con las tarjetas de acceso.

Luego dirigieron su atención a los sitios web de Sand Corp., que estaban alojados por un tercero y aún estaban en funcionamiento en ese momento. Los hackers los desfiguraron, publicando una fotografía de Adelson junto a Netanyahu, así como imágenes de llamas en un mapa de los casinos de Sands en EE. UU. En un momento, publicaron una advertencia: “Fomentar el uso de Armas de Destrucción Masiva, BAJO CUALQUIER CONDICIÓN, es un Crimen”, firmándolo “Equipo Anti WMD.” Los hackers también dejaron un mensaje para Sheldon, el mensaje decía: “Maldita sea A, no dejes que tu lengua te corte la garganta.”

Dell SecureWorks y Las Vegas Sands Corp. aún están contabilizando los daños causados por los hackers. Los hackers pueden haber eliminado casi tres cuartas partes de los servidores informáticos de la empresa en Las Vegas. La empresa ha estimado que este ataque podría costarle alrededor de 40 millones de dólares o más.

Bloomberg Businessweek ha publicado un artículo de 5 páginas sobre este ataque, detallando cada uno de los movimientos que hizo el hacker. Puedes leer el artículo completo aquí.

Recurso: Ars Technica