La rete di casinò di Las Vegas più grande al mondo hackerata da hacker iraniani

Gli hacker iraniani hanno utilizzato un codice di 150 righe per cancellare l’intera rete di Sands Corp

Tutto ciò che il principale azionista della Las Vegas Sands Corp. ha fatto è stato chiedere agli Stati Uniti di bombardare l’Iran per fermare il suo programma nucleare e ciò che ha ricevuto in cambio sarebbe diventato il suo peggior incubo, per lui, la sua azienda e gli altri stakeholder.

La Las Vegas Sands Corp. è un’azienda operante nel settore dei casinò, che gestisce alcuni dei più grandi casinò del mondo sulla Las Vegas Strip come Sands, Venetian e Palazzo. E Sheldon Adelson possiede il 52% della Las Vegas Sands Corp. ed è un residente israeliano. Nell’ottobre 2013, mentre partecipava a un panel presso il campus di Manhattan della Yeshiva University, ha chiesto un attacco nucleare contro l’Iran per costringere il paese ad abbandonare il proprio programma nucleare, secondo Bloomberg Businessweek.

“Cosa farei,” ha detto durante il panel, piuttosto che negoziare, “sarebbe dire: ‘Vedi quel deserto laggiù? Voglio mostrarti qualcosa.’ Prendi il tuo cellulare e chiami da qualche parte in Nebraska e dici ‘Ok, fallo.’… Poi dici: ‘Vedi? Il prossimo è in mezzo a Teheran.’” In risposta al discorso di Sheldon, il leader supremo dell’Iran, Ayatollah Ali Khamenei, ha chiesto al governo degli Stati Uniti di “schiaffeggiare queste persone chiacchierone in bocca e schiacciare le loro bocche,” in un discorso infuocato.

Tre mesi dopo, gli hacker iraniani hanno colpito la rete della sua azienda, la Las Vegas Sands Corp, cancellando i suoi contenuti, spegnendo i suoi hard disk, i server di posta elettronica e i sistemi telefonici.

“Senza che Sands lo sapesse, un mese dopo il discorso infuocato di Khamenei, gli hacker hanno iniziato a esplorare il perimetro delle sue reti informatiche, cercando debolezze. Solo più tardi, dopo l’attacco, gli investigatori sono stati in grado di esaminare i registri informatici e ricostruire i loro movimenti. Questi dettagli appaiono in documenti interni che descrivono ‘Yellowstone 1’, il nome in codice dell’incidente per l’azienda, e sono stati confermati in interviste con una mezza dozzina di persone a conoscenza della violazione e delle sue conseguenze. Ron Reese, un portavoce di Sands, ha rifiutato di rispondere a domande specifiche sull’attacco o di rendere disponibile Adelson.”

Ispirati dal suo discorso infuocato, i guerrieri informatici dell’Iran hanno iniziato a sondare le debolezze delle reti del casinò e hanno lanciato un attacco di forza bruta l’8 gennaio 2014, su Sands Bethlehem, un casinò e resort con 3.000 slot machine a Bethlehem, Pennsylvania, che ha il proprio sito web e rete informatica. Da lì, gli hacker hanno lanciato il loro primo attacco nella rete privata virtuale principale di Sands Bethlehem, o VPN, che consente ai dipendenti di accedere ai propri file da casa o in viaggio.

Dopo aver sondato e indagato su altre reti della Sand Corp., gli hacker hanno trovato una debolezza nel server di sviluppo web utilizzato da Sands Bethlehem il 1° febbraio. Questo server era utilizzato dal casinò per rivedere e testare le proprie pagine web prima di pubblicarle. Hanno violato questo server di sviluppo e staging Microsoft IIS e utilizzato uno strumento aperto chiamato mimikatz per ottenere nomi utente e password. Dopo molte indagini, hanno trovato le credenziali di un ingegnere senior di sistemi. Ora l’intera rete della Las Vegas Sands Corp. era accessibile agli hacker. Hanno quindi compilato un malware lungo 150 righe in Visual Basic per cancellare il computer e rubare i dettagli allo stesso tempo, alla maniera dell’attacco hacker di Sony.

“Il malware scritto da loro è così potente che non solo cancella i dati memorizzati su computer e server, ma riavvia anche automaticamente, un trucco intelligente che espone i dati che sono intoccabili mentre una macchina è ancora in funzione. Ancora peggio, lo script sovrascrive i dischi rigidi cancellati con un modello casuale di uno e zero, rendendo i dati così difficili da recuperare che è più conveniente acquistare nuove macchine e gettare quelle hackerate nella spazzatura.”

La Las Vegas Sands Corp. ha immediatamente chiamato Dell SecureWorks per indagare e ripulire gli effetti collaterali dell’attacco hacker. Dell SecureWorks ha dichiarato che l’attacco hacker apparteneva molto probabilmente a “hacktivisti” con sede in Iran e non era in alcun modo collegato al governo iraniano.

Gli hacker apparentemente hanno preso il controllo di tutta la rete della Las Vegas Sands Corp e rubato quasi tutti i file e le informazioni importanti che la rete deteneva, ma per fortuna per la Sands Corp. non sono riusciti a violare il mainframe IBM, altrimenti gli ospiti degli hotel della Sand Corp. non sarebbero riusciti nemmeno ad aprire le loro camere d’hotel con le schede di accesso.

Hanno poi rivolto la loro attenzione ai siti web della Sand Corp. che erano ospitati da una terza parte e ancora attivi in quel momento. Gli hacker li hanno defacciati, pubblicando una fotografia di Adelson in compagnia di Netanyahu, così come immagini di fiamme su una mappa dei casinò statunitensi di Sands. A un certo punto, hanno pubblicato un avviso: “Incoraggiare l’uso di armi di distruzione di massa, IN QUALSIASI CONDIZIONE, è un crimine,” firmandolo “Anti WMD Team.” Gli hacker hanno lasciato anche un messaggio per Sheldon, il messaggio recitava: “Damn A, non lasciare che la tua lingua ti tagli la gola.”

Dell SecureWorks e la Las Vegas Sands Corp stanno ancora contando i danni causati dagli hacker. Gli hacker potrebbero aver cancellato quasi tre quarti dei server informatici di Las Vegas dell’azienda. L’azienda ha stimato che questo attacco hacker potrebbe costarle circa 40 milioni di dollari o più.

Bloomberg Businessweek ha pubblicato un articolo lungo 5 pagine su questo attacco hacker dettagliando ogni singola mossa che l’hacker ha fatto. Puoi leggere l’intero articolo qui.

Risorsa: Ars Technica