Závažný problém musel řešit na začátku ledna druhý největší španělský operátor Orange. Nejen ve vztahu k zákazníkům, ale i ke své reputaci. Jeho služby, které v zemi využívá 21 milionů lidí, byly zhruba tři hodiny nedostupné kvůli hackerskému útoku. Útočník se přitom nemusel moc namáhat, operátor používal pro vstup do klíčové sítě nejhorší možné heslo bez dalšího zabezpečení.
Jak k útoku došlo, popsala na svém blogu kyberbezpečností společnost Hudson Rock a také server Bleeping Computer. Podle nich někdy v průběhu září 2023 byl počítač administrátora Orange infikován malwarem určeným ke krádeži přihlašovacích údajů. Šlo o administrátora, která se přihlašoval do RIPE NCC účtu operátora.
RIPE NCC je mezinárodní sdružení, které přeneseně řečeno „řídí” internet v Evropě, na Blízkém východě a v postsovětských zemích. Přiděluje v těchto regionech IP adresy (ne jednotlivě, ale po blocích) a dohlíží na technickou koordinaci. Poskytovatelé internetového připojení zpravidla bývají členy RIPE NCC. A pro zajímavost - v roce 2022 se předsedou představenstva organizace stal výkonný ředitel českého CZ.NIC Ondřej Filip.
Heslo zarazilo i analytiky
Ukradené přihlašovací údaje skončily k prodeji na darknetu. Tam je někdy, není jasné kdy, koupila osoba či entita, která vystupuje na sociálních sítích pod jménem Snow a tím se dostáváme do současnosti.
V lednu je použila k přihlášení právě do účtu Orange u RIPE NCC a jejímu údivu tam nebyla nastavena žádná další ochrana, chybělo například dvoufázové ověřování. I samotné heslo bylo… velmi špatné. Administrátor pro přihlášení používal heslo („ripeadmin”. Hudson Rock jej popsal jako „směšně slabé”.
Útočníci entita se tak do účtu dostala velmi snadno a hned začala přenastavovat, co se stalo. Změnila například AS číslo přiřazené k IP adresám a upravila konfiguraci, což nakonec vyústilo v to, že internet poskytovaný Orange nebyl několik hodin pro miliony jeho zákazníků dostupný. Koho by zajímal podrobný technický rozbor, sepsal ho zde Doug Madory ze společnosti Kentik. Situace podle něj byla ošklivá.
Sám operátor útok potvrdil a během jednoho odpoledne se mu podařilo nastavení vrátit zpět. Organizace RIPE v reakci uvedla, že se nad zabezpečením svých účtů zamyslí, ale těžko si lze představit, že Orange neměl možnost si výchozí heslo změnit, nebo si nastavit další úroveň ochrany. Administrátor byl jen laxní.
Podivné ale na celém útoku je, že není jasné, o co hackerovi šlo. Ani jedna ze zmíněných kybernetických společností se na tom neshodne. Snow nejspíš jen testoval, co se s takovým přístupem dá vykonat, existuje podle nich i možnost, že chtěl upozornit na opravdu špatné heslo, které Orange používal. Útok totiž sílil až postupně a Snow o něm na sociálních sítích informoval.