Злом MGM Resorts

Relive the 10-minute helpdesk call that cost $100M.

Що таке Злом MGM Resorts?

Злам MGM Resorts у вересні 2023 року є однією з найдорожчих атак соціальної інженерії в корпоративній історії, що коштувала приблизно $100 мільйонів втраченого доходу та витрат на відновлення. Ця вправа проведе Вас через фактичний ланцюг атаки, використаний групою Scattered Spider. Все почалося з розвідки відкритих джерел у LinkedIn, де зловмисники ідентифікували працівника MGM, а потім зателефонували на гарячу лінію ІТ-підтримки, видаючи себе за цього працівника з проханням скинути пароль. Уся фаза соціальної інженерії зайняла приблизно 10 хвилин. Отримавши доступ, група розгорнула ransomware ALPHV/BlackCat по мережі MGM, вивівши з ладу системи бронювання готелів, цифрові ключі від номерів, ігрові автомати та банкомати в об'єктах Лас-Вегаса та по всій країні. Збій тривав приблизно 10 днів. Ви аналізуватимете кожен етап атаки: розвідку через LinkedIn, vishing-дзвінок на гарячу лінію, скидання облікових даних, що дало зловмисникам точку входу, та латеральне переміщення, що призвело до повної компрометації мережі. Вправа змушує Вас оцінити процедури верифікації особи Вашої власної організації для дзвінків на гарячу лінію та скидання паролів. Чи спрацював би такий самий дзвінок проти Вашої команди? Більшість учасників виявляють прогалини, яких раніше не помічали.

Що ви дізнаєтесь у Злом MGM Resorts

Злом MGM Resorts — Кроки навчання

  1. Вступ: насичений понеділок у відділі IT-підтримки MGM

    Зараз понеділок, 11 вересня 2023 року, а ви тільки розпочали свою зміну. Ранок був напруженим – звичайні скидання паролів, проблеми з VPN і запити на доступ, які приходять із початком нового тижня. Сьогодні відчуваєш себе як будь-який інший понеділок, у черзі тикетів уже показано 15 відкритих запитів. Ви працюєте в MGM протягом двох років і пишаєтеся своїм обслуговуванням клієнтів – ваш головний пріоритет – допомогти співробітникам швидко повернутися до роботи.

  2. Перевірка черги квитків

    Сьогодні вранці ваша черга квитків заповнена - 15 відкритих заявок чекають на вашу увагу. Більшість із них є звичайними: скидання пароля, проблеми з підключенням до VPN та запити на доступ. Вам потрібно ввійти на портал підтримки, щоб почати працювати з ними. Ви ефективно обробляли ці запити весь ранок. Ваші показники ефективності винагороджують швидкий час вирішення, і ви пишаєтеся тим, що допомагаєте співробітникам повернутися до роботи якомога швидше.

  3. Вхідний дзвінок

    О 10:23 у вас дзвонить телефон. Ідентифікатор абонента показує, що це внутрішнє розширення - 4429. Це абсолютно нормально; співробітники часто телефонують безпосередньо в службу підтримки, коли самі не можуть отримати доступ до системи продажу квитків. Ви збираєтеся відповісти на звичайний дзвінок у службу підтримки. Той, хто дзвонить, звучатиме напруженим, але професійним – так само, як десятки інших співробітників, яким ви допомагаєте щотижня.

  4. Розпочинається телефонний дзвінок

    Ви професійно відповідаєте, а на іншому кінці чуєте голос молодої людини. Він звучить щиро напруженим, але ввічливим. Його англійська ідеальна – чіткий американський акцент, без вагань, використовує ту саму внутрішню термінологію, якою користуються ваші звичайні абоненти. Він представляється як Боб Річардсон з операційної групи Bellagio та пояснює, що заблокував доступ до своїх облікових записів через важливу зустріч з віце-президентом за 20 хвилин. Коли ви запитуєте посвідчення його працівника, він визнає, що не запам’ятав його, і залишив свій бейдж у своїй машині, запитуючи, чи можете ви натомість знайти його за ім’ям. Це поширений запит. Багато працівників не запам’ятовують свої ідентифікаційні документи та забувають бейджики. Ніщо в цьому дзвінку не викликає жодних негайних тривог.

  5. Перегляд досьє працівників

    Дотримуючись стандартного протоколу, вам потрібно підтвердити особу Боба, переглянувши в системі список його співробітників. Він назвав своє повне ім’я: Роберт Річардсон і сказав, що працює в відділі обслуговування гостей у Bellagio. Перш ніж продовжувати будь-які зміни облікового запису, ви здійсните пошук у базі даних співробітників, щоб переконатися, що він законний співробітник MGM. Це звичайний крок безпеки, який ви виконуєте десятки разів на день.

  6. Підтвердження особи Боба

    У системі показано Роберта Річардсона, ідентифікаційний номер працівника MG-47832, найнятого в травні 2020 року менеджером із обслуговування гостей у Bellagio. Все чудово. Тепер вам потрібно підтвердити його особу за допомогою стандартних секретних запитань. Боб пояснює свою проблему з MFA: його телефон оновився вчора та пошкодив програму Authenticator, тому він не може отримати коди входу. Це поширена проблема, яку ви вирішували багато разів раніше. Боб без вагань вказує свою дату народження та останні чотири цифри свого соціального страхування. Він навіть згадує свого менеджера Лінду Чен (ту, кому ви допомагали раніше) і посилається на внутрішній проект щодо впровадження нової системи реєстрації. Він звучить розчаровано, але професійно, пояснюючи, наскільки це терміново через його майбутню зустріч з віце-президентом.

  7. Перехресна перевірка інформації

    Ви порівнюєте інформацію про Боба з інформацією, яка відображається на порталі співробітників. Дата народження, номер соціального страхування, ім’я керівника та відділ повністю збігаються. Усе, що вам сказав Боб, є правильним. Він знає внутрішні проекти, посилається на реальних людей, і його розчарування звучить щиро. Він надає всю правильну інформацію без того, щоб ви запитували двічі. Немає очевидних ознак, які викликали б у вас підозри. Схоже, що це законний працівник, якому потрібна допомога, щоб повернутися до роботи перед важливою зустріччю.

  8. Запит на скидання МЗС

    Ви пояснюєте Бобу стандартні параметри: ви можете скинути його MFA, але йому потрібно буде повторно зареєструвати свій пристрій. Крім того, ви можете надіслати тимчасовий код доступу на його зареєстровану електронну адресу чи номер телефону. Боб пояснює свою скруту: його номер телефону змінився, коли він отримав нову SIM-картку під час оновлення, і він не може отримати доступ до своєї електронної пошти, оскільки для цього також потрібен той самий MFA, який він заблокував. Він запитує, чи можете ви просто скинути MFA, щоб він міг повторно зареєструватися зараз із готовим телефоном. Це у ваших повноваженнях. Ви вже робили таке скидання сотні разів. Система показує, що він законний працівник із перевіреною інформацією. Ваші показники ефективності сприяють швидкому вирішенню проблем, і Боб явно має законну бізнес-потребу.

  9. Прийняття рішення

    Ви прийняли рішення. Боб продемонстрував, що він справжній працівник, надавши точні особисті дані та запропонувавши розумне пояснення. Ви вже виконували саме цей тип скидання MFA сотні разів без інцидентів. Здається, що Боб напружений через законну ділову потребу — за кілька хвилин має відбутися зустріч із віце-президентом. Ви тут, щоб допомогти співробітникам швидко повернутися до роботи. Немає причин відхиляти цей запит або передавати його своєму керівнику. Усе перевірено, і Боб чекає на черзі, готовий негайно повторно зареєструвати свою програму автентифікації.

  10. Доступ до налаштувань облікового запису

    Ви переходите до профілю співробітника Боба на порталі. На сторінці вказані його основні дані, історія роботи та поточний статус. Щоб виконати скидання MFA, спершу потрібно отримати доступ до налаштувань його облікового запису. Ви можете побачити, як його профіль підтверджує інформацію, яку він надав: менеджер із обслуговування гостей у Bellagio, найнятий у травні 2020 року. Усе збігається з тим, що Боб сказав вам по телефону.