Maior rede de cassinos de Las Vegas hackeada por hackers iranianos

Hackers iranianos usaram um código de 150 linhas para apagar toda a rede da Sands Corp

Tudo o que o proprietário da maioria das ações da Las Vegas Sands Corp. fez foi pedir aos Estados Unidos para bombardear o Irã para parar seu programa nuclear e o que ele recebeu em troca se tornaria o pior pesadelo para ele, sua empresa e outros acionistas.

A Las Vegas Sands Corp. é uma empresa operadora de cassinos, que opera alguns dos maiores cassinos do mundo na Las Vegas Strip, como os hotéis e cassinos Sands, Venetian e Palazzo. E Sheldon Adelson possui 52% da Las Vegas Sands Corp. e é residente em Israel. Em outubro de 2013, enquanto participava de um painel no campus de Manhattan da Yeshiva University, ele pediu um ataque nuclear ao Irã para que o país abandonasse seu próprio programa nuclear, de acordo com a Bloomberg Businessweek.

“O que eu faria”, disse ele durante o painel, em vez de negociar, “seria dizer: ‘Você vê aquele deserto ali? Eu quero te mostrar algo.’ Você pega seu celular e liga para algum lugar em Nebraska e diz ‘Ok, pode soltar.’… Então você diz: ‘Viu? O próximo é no meio de Teerã.’” Em resposta ao discurso de Sheldon, o Líder Supremo do Irã, Ayatollah Ali Khamenei, pediu ao governo dos EUA para “dar um tapa na boca dessas pessoas faladoras e esmagar suas bocas”, em um discurso inflamado.

Três meses depois, os hackers iranianos atacaram a rede de sua empresa, a Las Vegas Sands Corp, apagaram seu conteúdo, desligaram seus discos rígidos, servidores de e-mail e sistemas telefônicos.

“Sem que a Sands soubesse, um mês após o discurso inflamado de Khamenei, hackers começaram a explorar o perímetro de suas redes de computadores, procurando fraquezas. Somente depois, após o ataque, os investigadores conseguiram examinar os registros de computadores e reconstruir seus movimentos. Esses detalhes aparecem em documentos internos descrevendo ‘Yellowstone 1’, o nome de código da empresa para o incidente, e foram corroborados em entrevistas com meia dúzia de pessoas familiarizadas com a violação e suas consequências. Ron Reese, um porta-voz da Sands, se recusou a responder perguntas específicas sobre o ataque ou a disponibilizar Adelson.”

Inspirados por seu discurso inflamado, os guerreiros cibernéticos do Irã começaram a investigar as fraquezas das redes de cassinos e lançaram um ataque de força bruta em 8 de janeiro de 2014, no Sands Bethlehem, um cassino e resort com 3.000 máquinas caça-níqueis em Bethlehem, Pennsylvania, que possui seu próprio site e rede de computadores. A partir daí, os hackers lançaram seu primeiro ataque na rede virtual privada principal do Sands Bethlehem, ou VPN, que dá aos funcionários acesso a seus arquivos de casa ou na estrada.

Após investigar e explorar outras redes da Sand Corp., os hackers encontraram uma fraqueza no servidor de desenvolvimento web usado pelo Sands Bethlehem em 1º de fevereiro. Este servidor era usado pelo cassino para revisar e testar suas páginas da web antes de publicá-las. Eles violaram este servidor de desenvolvimento e estágio Microsoft IIS e usaram uma ferramenta aberta chamada mimikatz para obter nomes de usuário e senhas. Após muita investigação, encontraram as credenciais de um engenheiro de sistemas sênior. Agora, toda a rede da Las Vegas Sands Corp. estava acessível aos hackers. Eles então compilaram um malware de 150 linhas em Visual Basic para apagar o computador e roubar os detalhes ao mesmo tempo, como no ataque ao Sony.

“O malware escrito por eles é tão poderoso que não apenas apaga os dados armazenados em computadores e servidores, mas também reinicia automaticamente, um truque inteligente que expõe dados que são intocáveis enquanto uma máquina ainda está em funcionamento. Pior ainda, o script escreve sobre os discos rígidos apagados com um padrão aleatório de uns e zeros, tornando os dados tão difíceis de recuperar que é mais econômico comprar novas máquinas e jogar as hackeadas no lixo.”

A Las Vegas Sands Corp. imediatamente chamou a Dell SecureWorks para investigar e limpar os efeitos do ataque hacker. A Dell SecureWorks disse que o ataque hacker provavelmente pertencia a “hacktivistas” baseados no Irã e não tinha nenhuma conexão com o governo iraniano.

Os hackers aparentemente tomaram controle de toda a rede da Las Vegas Sands Corp. e roubaram quase todos os arquivos e informações importantes que a rede possuía, mas, felizmente para a Sands Corp., eles não conseguiram violar o mainframe da IBM, caso contrário, os hóspedes dos hotéis da Sand Corp. não teriam conseguido abrir seus quartos com os cartões magnéticos.

Eles então voltaram seus olhos para os sites da Sand Corp., que eram hospedados por um terceiro e ainda estavam ativos naquele momento. Os hackers os desfiguraram, postando uma fotografia de Adelson com Netanyahu, além de imagens de chamas em um mapa dos cassinos da Sands nos EUA. Em um determinado momento, eles postaram uma advertência: “Incentivar o uso de Armas de Destruição em Massa, SOB QUALQUER CONDIÇÃO, é um Crime”, assinando como “Anti WMD Team.” Os hackers deixaram uma mensagem para Sheldon também, a mensagem dizia: “Droga A, não deixe sua língua cortar sua garganta.”

A Dell SecureWorks e a Las Vegas Sands Corp. ainda estão contabilizando os danos causados pelos hackers. Os hackers podem ter apagado quase três quartos dos servidores de computador da empresa em Las Vegas. A empresa estimou que este ataque hacker pode custar cerca de $40 milhões ou mais.

A Bloomberg Businessweek publicou um artigo de 5 páginas sobre este ataque hacker detalhando cada movimento que o hacker fez. Você pode ler o artigo completo aqui.

Fonte: Ars Technica