Ako sme už informovali v skoršom článku, tak dňa 14.9. okolo 8:00 prebehol kybernetický útok na firmu Gransy s.r.o. a jej služby Subreg, Station a G-Hosting, ktoré sa zaoberajú registráciou domén a hostingovými službami.

Po útoku zostali všetky služby, vrátané webových stránok, nedostupné. Čo je ale podstatne horšie, tak boli odstavené aj DNS a webhostingové servery, ktoré obsahovali konfigurácie a dáta webových stránok zákazníkov. Výpadok DNS serverov spôsobil nedostupnosť webových stránok, internetových obchodov a online služieb zákazníkov firmy Gransy.

Útočníci najskôr zašifrovali dôležité konfiguračné súbory na serveroch a následne sa rozhodli útok dokončiť ešte deštruktívnejšie a vymazali všetky konfiguračné súbory, potrebné na prevádzku registračných a hostingových služieb.

Pozrime sa, ako prebiehala obnova technickej infraštruktúry a aké následky mal kybernetický útok:

Pondelok 14.9.:

• Mimo prevádzky je aj služba tretej strany Exon, ktorá využíva na registráciu domén práve službu Subreg.
• Firma Gransy informuje o tom, že oprava infraštruktúry vyžaduje reinštaláciu a novú konfiguráciu väčšiny produkčných serverov. Jedná sa o časovo náročnú operáciu.
• Veľký slovenský registrátor domén a prevádzkovateľ hostingových služieb Websupport oznamuje, že mu nefunguje registrácia domén, nakoľko využíva služby Subreg.
• Služba Stable oznamuje nedostupnosť služby registrácie domén, taktiež využíva službu Subreg.
• Spoločnosť TELE 3 oznamuje nefunkčnosť svojich serverov, ktoré hostuje u firmy Gransy.
• Firma Zikom informuje o výpadkoch svojich služieb, nakoľko využíva služby firmy Gransy.
• Firma Gransy informuje o tom, že kybernetický útok bol cielený na deštrukciu ich IT infraštruktúry a obnova bude časovo náročná, aktuálne nemajú odhad, kedy bude opäť všetko funkčné.

Utorok 15.9.:

• Pracuje sa na obnove infraštruktúry.
• Obnovený DNS server, ale zatiaľ nefunkčný pre zákazníkov.
• TELE 3 informuje, že problematické servery sú už v prevádzke, ale stále nefunguje registrácia a predlžovanie webových domén.
• Časť užívateľského rozhrania Subreg obnovená, stále ale veľká časť nefunguje.
• Nie je funkčná emailová a ani telefonická zákaznícka podpora.
• Spoločnosť MyDreams a WP hosting informuje o výpadkoch svojich služieb, nakoľko využíva služby Subreg.
• Večer by mali byť obnovené DNS servery a ich funkčnosť pre zákazníkov – žiaľ custom konfigurácie a nastavenia DNS boli vymazané a neobnovené, preto zákazníkom nefungujú služby, ktoré vyžadujú custom DNS záznamy.

Streda 16.9.:

• Firma Gransy pracuje na obnove emailových serverov.
• Pracuje na obnove DNS serveru služby Station, ktorá je stále mimo prevádzky.
• Control panel pre prácu s databázami zákazníkov je stále nefunkčný.
• Weby na staršom webohostingovom riešení nie sú stále dostupné.
• Večer firma Gransy informuje o sprevádzkovaní emailových serverov, ale stále nie je obnovené zabezpečené SSL pripojenie na IMAP server.

Štvrtok 17.9.:

• Niektorí užívatelia majú stále problém s prihlásením do emailu.
• Zabezpečené pripojenie obnovené s jedným SSL certifikátom pre tri služby (ktoré mali pôvodne tri certifikáty), nutné odsúhlasenie bezpečnostnej výnimky pri zabezpečenom pripojení na emailové servery.
• V poobedňajších hodinách bol spustený SMTP server.

Piatok 18.9.:

• Spustené a obnovené servery pre službu Station.
• DNS servery stále neobsahujú všetky custom DNS záznamy zákazníkov, tí si musia požiadať o manuálne doplnenie záznamov na DNS servery.

Sobota 19.9.:

• Firma Gransy obnovuje webové servery služieb G-Hosting a Station.
• Služba ControlPanel pre administráciu hostingových služieb zákazníkov je nefunkčná, nakoľko firma nemá dostatočne aktuálnu zálohu databázy, ktorá by bola kompatibilná s daným systémom.
• Firma pracuje na obnovení hostingových služieb zákazníkov.
• Počas dňa vznikol opäť výpadok DNS služieb.

Nedeľa 20.9.:

• Po šiestich dňoch by mali opäť fungovať webové stránky a služby zákazníkov G-Hostingu.
• Firma Gransy obnovila niektoré administračné služby (email).
• Subreg správa domén by mala byť po 6tich dňoch opäť v prevádzke až na minoritné služby.
• Station hosting a Novy hosting je stále mimo prevádzky aj po šiestich dňoch.
• Emailová a telefonická zákaznícka podpora stále nefunkčná.
• Firma Gransy informuje, že sa medzi servermi zdieľali SSH kľúče pre lepšiu automatizáciu, čo bolo príčinou toho, že útočníci tak rýchlo zničili technickú infraštruktúru.

Pondelok 21.9.:

• Webhosting a databázové servery obnovené pre služby G-Hosting a Station po siedmich dňoch.
• Spustený PHPMyAdmin pre spravovanie databázy.

Streda 23.9.:

• Spustená základná administrácia hostingových služieb na G-Hosting a Station pre zákazníkov.
• Veľa zákazníkov reportuje problém s tzv. „bielou stránkou“. To znamená, že miesto webu sa im nezobrazuje žiaden obsah, len biele pozadie.
• Firma informuje, že problém s bielymi stránkami je spôsobený obnovou databázy, kedy v databázach chýbajú dáta, alebo je chyba v konfigurácii a smerovaní na DB server.
• Zákazníci reportujú problém so zlou diakritikou na niektorých weboch.
• Firma Gransy presúva časť práce na obnove webov na svojich zákazníkov, v niektorých prípadoch odporúča editovať konfiguračný súbor webu .htaccess, alebo priamo PHP kód webu.

Štvrtok 24.9.:

• Firma informuje o tom, že eviduje stále ešte desiatky domén, ktoré majú zlé smerovanie v DNS záznamoch. Na probléme pracuje. Niektoré weby na daných doménach sú mimo prevádzky už 10 dní.

Piatok 25.9.:

• Až na jedenásty deň sa podarilo obnoviť emailovú zákaznícku podporu.
• Firma informuje, že služby by mali byť obnovené a stabilné ako pred kybernetickým útokom.

Na podrobnej analýze riešenia následkov kybernetického útoku na firmu Gransy je vidieť, aké náročne po finančnej, časovej a technickej stránke môže byť obnovenie zničenej IT infraštruktúry. Ďalšia negatívna vec je poškodenie reputácie firmy Gransy, keďže veľká časť zákazníkov zažila dlhodobý výpadok svojich webových služieb na rádovo niekoľko dní.

Aj z tohto prípadu vyplýva, že IT security je jedna z najdôležitejších tém každej firmy a prevencia pred kybernetickým útokom je mnohonásobne lacnejšia a jednoduchšia ako riešenie škôd spôsobených útočníkmi.