400 virtuelle Festplatten nach Cyberangriff wiederhergestellt
Die Situation
Der Kunde war gerade dabei, ein anderes Unternehmen zu übernehmen, das die meisten seiner Systeme virtualisiert hatte. Als die Nutzer des Unternehmens am Freitag das Büro verließen, waren alle Systeme betriebsbereit, und als sie am Montagmorgen wiederkamen, konnten die Nutzer nicht auf die virtuellen Maschinen zugreifen.
Der Kunde wandte sich an die Support-Teams von HP und VMware und stellte nach einer ersten Untersuchung fest, dass die virtuellen Maschinen und ihre Snapshots von den Quellvolumes gelöscht worden waren. Die Volumes, die die Backups enthielten, waren initialisiert worden, wodurch die Backup-Dateien überschrieben wurden.
Der Kunde wurde daraufhin zur Datenwiederherstellung an Ontrack verwiesen.
Die Lösung
Das Unternehmen vermutete ein falsches Spiel, so dass das Kroll-Sicherheitsteam zum Standort des Kunden geschickt wurde, um während der Datenwiederherstellung eine Untersuchung einzuleiten. Das Sicherheitsteam sperrte das Rechenzentrum ab, installierte Überwachungssysteme und begann dann mit einer umfassenden Untersuchung des mutmaßlichen Einbruchs. Kroll Background Screening wurde ebenfalls hinzugezogen, um eine Hintergrundüberprüfung der verdächtigen Personen durchzuführen.
Das Team stellte bald fest, dass sich eine Person von außerhalb des Unternehmens in ein System eingeloggt und dann eine Verbindung zu einer Reihe von Systemen hergestellt hatte. Sobald die Person den VMware-Server erreicht hatte, löschte sie absichtlich und böswillig die virtuellen Festplatten und Backups. Die Person konnte auf 27 der 28 logischen Einheitsnummern (LUNs) zugreifen.
Der Kunde hatte ein erstes Beratungsgespräch mit Ontrack und bekam eine Lösung zur Remote-Datenwiederherstellung angeboten. Es wurden mehrere Rechner angeschlossen, und nach der Verbindung wurden Ontrack-Teams beauftragt, eine Bewertung der bereitgestellten LUNs vorzunehmen. Die Ontrack-Techniker bestätigten, dass die Daten auf dem Volume gelöscht worden waren. Anschließend identifizierten sie alle wiederherstellbaren Daten auf jeder LUN und stellten dem Kunden Berichte mit detaillierten Angaben zu den Daten zur Verfügung.
Die Bewertung war eine große Herausforderung, da der Kunde nur über eine begrenzte Dokumentation, unbekannte Namen von virtuellen Maschinen, unbekannte Inhalte auf den virtuellen Festplatten und unbekannte Betriebssysteme verfügte. Außerdem gab es keinen Notfallplan für dieses System, so dass sich die Prioritäten während der Evaluierung änderten.
Nachdem Ontrack das Ausmaß des Problems erkannt hatte, das dazu führte, dass das Unternehmen lebenswichtige Rezepte und andere medizinische Güter nicht ausliefern konnte, stellte das Unternehmen ein virtuelles Team zusammen, das sich aus Ressourcen von acht Datenwiederherstellungszentren auf der ganzen Welt zusammensetzte. Nach der Überprüfung der bereitgestellten Berichte und der Zustimmung des Kunden extrahierten die Ontrack-Teams die gelöschten Daten und extrahierten bei Bedarf den Inhalt der beschädigten virtuellen Festplatten auf einen neuen, vom Kunden bereitgestellten Speicher.
Das Ergebnis
Der leitende Systemadministrator des kleineren Unternehmens verließ seinen Arbeitsplatz, bevor die Fusionsgespräche geführt wurden, und nahm alle Systeminformationen mit. Das Unternehmen war gezwungen, ihn als Auftragnehmer wieder einzustellen, um einen Wissensaustausch mit den verbleibenden Mitarbeitern durchzuführen.
Während seiner Zeit als Vertragsangestellter richtete der leitende Administrator ohne Wissen der anderen Mitarbeiter ein abtrünniges vCenter im Netzwerk des Unternehmens ein. Danach beendete er seinen Vertrag und verließ das Unternehmen ohne Zwischenfälle. Kurz nachdem er das Unternehmen zum zweiten Mal verlassen hatte, kam es zu einer Fusion mit einem größeren Pharmaunternehmen. Im Zuge dieser Fusion wurden einige Mitarbeiter entlassen, darunter auch der Freund des leitenden Verwalters.
Während der Sicherheitsuntersuchung von Kroll fanden die Ermittler in einem der Routerprotokolle einen nicht autorisierten Eintrag von außerhalb des Netzwerks. Der Eintrag führte sie zu dem betrügerischen vCenter, und nach Rücksprache mit dem VMware-Support stellten sie fest, dass es sich um das System handelte, das zum Löschen aller virtuellen Festplatten und ihrer Snapshots verwendet wurde.
Das Kroll-Team kontaktierte daraufhin das FBI und konnte in Zusammenarbeit mit dessen Team feststellen, dass die externe IP-Adresse zu AT&T gehörte. Das FBI setzte sich mit AT&T in Verbindung und erfuhr, dass die IP-Adresse auf ein McDonalds-Unternehmen registriert war. Das FBI schickte Außendienstmitarbeiter zu McDonalds und fand Beweise dafür, dass einer der Verdächtigen am Tag des Vorfalls dort gewesen war. Als die Agenten die Beweise hatten, konfrontierten sie den Verdächtigen und er gestand die Tat.
Aus schriftlichen Berichten und Gerichtsakten erfuhr das Team, dass der leitende Verwalter beschloss, sich für die Entlassung seines Freundes zu rächen und dem kleineren Unternehmen eine Lektion zu erteilen. An einem Sonntagmorgen setzte er sich in sein Auto, fuhr zu dem fraglichen McDonalds, kaufte mit seiner Kreditkarte ein Frühstück und loggte sich dann in das öffentliche WLAN ein. Von dort aus stellte er eine Verbindung zu dem bösartigen vCenter her und löschte alle virtuellen Maschinen sowie die Backups.