Nowy Cudowny Cyber!

Przygody Kapitana Cybereksperta.

Odcinek: 000 | 001 | 002


W piwnicy siedziby głównej Narodów Zjednoczonych w Nowym Jorku słychać było dzwonek telefonu. Pracownik działu IT podniósł słuchawkę i, zmęczony ciągłymi prośbami o reset hasła, wymamrotał: - Dział bezpieczeństwa ONZ, w czym mogę pomóc? - Chyba mam... ten... malware na kompie. Myszka sama chodzi po monitorze. Rozważając przez moment dowcip na temat braku odpowiednich metod deratyzacji nowojorskich budynków, zdecydował się zachować profesjonalnie. Mimo, że za 10 minut kończył zmianę. - Zaraz podejdę, proszę poczekać. Skąd pan dzwoni? - Biuro sekretarza generalnego. Dwudzieste trzecie piętro. Odłożył słuchawkę. Odwrócił się i otworzył szafę, w której trzymał marynarkę i krawat. Gdy wchodził na dodatnie piętra musiał dotrzymywać dress code. Tutaj, w piwnicy, sam ustalał dress code sobie i pracownikom, jako menedżer. Zwykle nie zajmował się sprawami złośliwego oprogramowania, jako że formalnie pracował na III linii wsparcia, ale nie chciał przetrzymywać swoich podwładnych po godzinach, a usuwanie adware ze stron porno przez wykonanie pełnego skanu dysku trwało około 20 do 30 minut. Gdy wysiadł z windy zobaczył otwarte drzwi od biura sekretariatu. O tej porze nie był to niezwykły widok, bo większość pracownikóœ biurowych kończyła pracę, ale ludzie wbiegający i wybiegający z biura w pośpiechu zwiastowali coś gorszego niż zwykłą interwencję SOC. Wszedł do środka i zobaczył odwrócony do sali monitor, a na nim standardowy pasek postępu systemu Windows, który pokazywał proces kopiowania danych z folderu "Przyszłe rezolucje" do serwera FTP w Internecie. - Co się dzieje? - zapytał podbiegając do komputera i wyrywając kabel sieciowy. Uszkodził końcówkę. Będzie musiał iść po zaciskarkę, bo oczywiście jej zapomniał. Dlatego właśnie nie jest na I linii. - To mi wyskoczyło! Nie wiedziałem co zrobić! - krzyczał przerażony pracownik sekretariatu. - Dobrze, zobaczmy co się stało. Usiadł przy klawiaturze i odwrócił monitor w stronę biurka. Zaczął przeglądać autostart i działające programy. Zauważył jeden o nazwie "ONZ_RAT_FINAL.EXE". Był zarówno wpisany w rejestrze jak i w menadżerze zadań. Nie chciał go zamykać, dopóki nie zgra pamięci RAM. Włożył pendrive przyczepiony do kluczy, żeby uruchomić narzędzie do analizy poincydentalnej. Podczas gdy narzędzie zrzucało pamięć i newralgiczne punkty systemu drzwi od gabinetu sekretarza generalnego się otworzyły. - Do widzenia, do jutra! - powiedział sekretarz generalny ONZ - A co tu się dzieje? Czemu jesteś tak przerażony, Dawid? - spytał młodego pracownika biura, który nerwowo patrzył na monitor swojego komputera z wyświetlającym się innym paskiem postępu - tym razem pochodzącym z OgnisteOko Forensic Edition(TM). - Zadzwoniłem do IT, żeby zobaczyli. Chyba jakiegoś wirusa tu mam. Sekretarz generalny podszedł do najbliższego okna i spojrzał na panoramę Nowego Jorku. - Tak, cyberataki. Przyszłość. - powiedział. Popatrzył jeszcze przez 20 sekund po czym odwrócił się w kierunku drzwi wyjściowych i odszedł. Pamięć RAM została zrzucona. Pliki potrzebne przy analize też. Pozostało zrzucić obraz dysku, ale gdy menedżer SOC podniósł słuchawkę, żeby zadzwonić po przenośny dysk twardy komputer się wyłączył. Po prostu. Bez ostrzeżenia. Jakby chciał coś ukryć. Menadżer wiedział, że sytuacja jest groźniejsza niż mu się wydawało. Spróbował uruchomić komputer, ale BIOS wydawał się w ogóle nie wykrywać dysku. Wszedł pod biurko, odłączył komputer od prądu i wyciągnął dysk. W międzyczasie przybył kolejny pracownik z piwnicy w wygniecionej marynarce. Podłączyli narzędzie do kopiowana zawartości dysku, ale plik z kopią wypełniał się tylko zerami. - Zobacz co się udało zrzucić Ognistemu Oku. - rozkazał swojemu podwładnemu menedżer. - Nic tu nie ma. Nic. Pendrive jest zupełnie pusty. Ale nawet nie sformatowany, same zera. - Ta sprawa przerasta nasze możliwości. Musimy wykorzystać ostatnie możliwe wyjście. - menedżer znowu podniósł słuchawkę i wybrał numer do piwnicy IT - Ogłaszam alarm. Potrzebujemy eksperta. Po chwili z windy wyszli przedstawiciele każdego zespołu działającego w IT. Weszli do biura sekretariatu i stanęli na środku, przygotowani do wykonania ostatecznego planu reakcji na incydenty. - Wszyscy gotowi? - zapytał menedżer. Pozostali skinęli tylko głowami. Każdy wyciągnął dłoń przed siebie i połączyli je, jedna na drugiej. Zaczęli po kolei wykrzykiwać. - FIZYCZNA! - ŁĄCZA DANYCH! - SIECIOWA! - TRANSPORTOWA! - SESJI! - PREZENTACJI! - APLIKACJI! Pokój zaczął wirować i nagle pojawi się dym. Było go tak dużo, że nikt nie widział nikogo innego, nawet jeśli stali tuż przy sobie. Nagle odezwał się donośny głos. - Z waszych połączonych warstw powstałem ja, Kapitan CyberEkspert! Dym opadł. Na środku pokoju znajdował się on - Kapitan CyberEkspert. - Czemu mnie zawołaliście? - spytał Kapitan CyberEkspert. - Mamy problem z analizą poincydentalną, Kapitanie Ekspercie, pomóż nam! - Oczywiście, że Wam pomogę, wszak znam się na wszystkim. Pracuję już mnóstwo lat w branży. Wiecie gdzie pracowałem i jak długo, prawda? - Tak Kapitanie Ekspercie. - odparli zgodnie wszyscy obecni w pokoju. Po ostatnich kilku wizytach Kapitana CyberEksperta znali już jego CV na pamięć. Kapitan CyberEkspert popatrzył swoim eksperckim okiem na pamięć przenośną, dysk, laptop. Przeanalizował wszystko dokładnie. Dawid, pracownicy IT i menedżer czekali nad nim w napięciu na wiadomość. Czy udało się atakującemu ukraść wszystkie dane? Czy atakujący włamał się gdzieś indziej? Jaki był wektor ataku? Mieli mnóśtwo pytań, ale wiedzieli, że ekspert odpowie na nie wszystkie, jeśli dadzą mu pracować. Po chwili ekspert odrzekł: - Spojrzałem swoim eksperckim okiem. - No i? - Dawid nie wytrzymał tego napięcia, musiał zapytać. - Analiza brzmi następująco: atakujący włamał się do tego komputera i zostawił złośliwe oprogramowanie. To złośliwe oprogramowanie kopiowało dane z komputera na serwer atakującego - tak zwany serwer C&C. Następnie, gdy wyczuło próbę analizy, usunęło wszystkie dane z dysku i pamięci przenośnej zastępując je zerami. Prawdopodobnie było to oprogramowanie typu RAT. Wszyscy byli wpatrzeni w eksperta i słuchali z uwagą. Na koniec pokiwali głowami ze zrozumieniem. Wiedzieli już wszystko. Kapitan CyberEkspert zwrócił się jeszcze do sali i powiedział: - Pamiętajcie, żeby mieć bezpieczne i losowe hasła. A teraz już na mnie czas. Czuję, że gdzieś odbywa się konferencja, a mnie na niej nie ma. I zniknął w dymie swojej wiedzy i niesamowitości. Na koniec usłyszeli tylko: "fakturę wyślę faksem!".