內務委員會 ( 非常設委員會 ) 2020 年 4 月及 5 月份資訊安全事務獨立調查委員會初始化 ( 公開調查 ) 報告開始日期 :2020/05/10 完結日期 :2020/05/24 調查人員 :Ivan Cheung, Anson Tsang, Dicky Fung, Ken Chan 調查內容 :4 月及 5 月份出現了多次的伺服器入侵及病毒攻擊事故 立案調查投票結果 :3 / 0 / 1 調查報告如下 : 經過連日來的調查, 已經確認直至報告發出當天, 共出現八次資訊安全問題, 我們只會列出兩次最嚴重的事件, 包括以下事件 : 2020/04/16:HyperLand 地圖匯入病毒擴散事件 2020/05/10: 網絡癱瘓事件 本調查小組將會將上述四件事件的來龍去脈在以下內容中說明清楚, 為保障職員私隱, 我們將會使用員工編號代表該名員工 首先, 在地圖匯入事件中, 我們檢查了伺服器的 Event Logs, 發現了職員 0478521 & 0458521 & 0408521 & 1048520 分別在下午 10 時 6 時,7 時及 8 時分別登入伺服器之後台, 以下為事件紀錄 : 06:22 0458521 使用帳號 HYPERNITE\hrl 登入後台並進行遊戲後台操作 06:45 0458521 登出伺服器 07:12 0408521 使用帳號 HYPERNITE\e.admin 登入後台並例行檢查 07:20 0408521 伺服器中連接 \\backup.hn.local\backup$
07:35 0408521 複製檔案到 \\backup.hn.local\backup$ 08:07 1048520 使用帳號 HYPERNITE\hrl 登入後台並進行遊戲後台操作 08:12 0408521 登出伺服器 08:15 1048520 從 162.133.2.101:63200 複製壓縮檔 (ZIP) 到後台 08:20 1048520 解壓縮檔案 08:35 1048520 複製檔案到 D:\HyperLand 08:40 1048520 登出伺服器 09:10 SYSTEM 重啟 HyperLand Minecraft Server 09:25 IDS 檢測到有未經授權之應用程序正在進行複製並有擴散之可能 09:26 IDS 電郵通知 CIO & Network Manager 09:30 啟動第一級安保程序, 關閉伺服器之對外連接 09:35 強制鎖定伺服器帳號 HYPERNITE\hrl 09:40 強制終止所有連線 10:20 0478521 使用帳號 HYPERNITE\hrl 登入後台並進行遊戲後台操作 10:21 0478521 帳號被鎖定, 無法登入 以上為 416 地圖匯入病毒擴散事件的事件紀錄, 我們發現職員 1048520 是負責把相關病毒檔案放進後台當中, 而 0478521 載入並重啟相關遊戲伺服器 經過其中一名調查人員提供的資訊所指,1048520 並不清楚相關資料為病毒所感染的檔案, 同時相關檔案是由 0478521 所提供的, 因此 1048520 並沒有違反任何守則, 然而 0478521 亦表示他並不清楚相關資料是被感染的, 他是從網上一些網站下載的伺服器地圖, 並認為該網站是安全的 經過調查後, 發現該病毒隱藏在伺服器的地圖檔案之中, 經過資訊部門搶修後, 大部分伺服器資料已經回復正常 經過跨部門總監會議商討後, 已經決定製作相關規條對資料之安全進行規範, 以保障各伺服器系統內容之完整性 經過訊息總監進行點算後, 共有 16GB 檔案未能回復共有兩個伺服器遭受影響, 同時已經回復到相關備份, 資訊科技部門已經為相關硬體進行檢測, 預計需要替換 OS SSD, 詳細將會與財務總監商討後才能確實 同時已經通知行政總監就相關事件盡快制定規條保障資料安全
然而, 在網絡癱瘓事件上, 我們發現被入侵之帳號為 0458521 之員工帳號, 由於該名職員帳號能夠存取 Minecraft Server Network 上的所有伺服器及擁有 Local Administrator 之帳號權限因而才導致是次事件之嚴重性 以下為調動了 Cisco Network (Switching) Logs Windows Event Logs, 資訊安全保障系統 IDS,ADDS Logs 及災難備援系統 Logs 之綜合紀錄 : 2020/05/10: 09:01 0458521 登入 10.68.1.26 09:05 0458521 安裝程式 MRS.EXE 09:06 SYSTEM 阻擋安裝, 原因 : 發現病毒 09:06 119.237.20.49 帳號嘗試使用 HYPERNITE\msco 登入 10.68.1.26 09:07 密碼錯誤, 登入失敗 09:10 119.237.20.49 帳號嘗試使用 HYPERNITE\hrl 登入 10.68.1.26 09:10 登入成功, 從 123.220.13.1 複製檔案到 10.68.1.26 09:20 0458521 關閉 Windows Defender 10:00 DOIMAIN SYSTEM 自動啟動安部程序 (ERSX-001-PREVENT) 10:30 安保程序失敗 10:35 Minecraft Server Network IDS 被 0458521 強制性關閉 11:00 Minecraft Server Network Switch & Routing System 失去連線 11:30 主網絡啟動緊急安保程序 11:45 嘗試關閉 HYPERNITE\ycl 帳號, 關閉失敗 11:58 IP SEC VPN 系統出現故障 2020/05/11: 00:05 OpenVPN & Windows VPN 伺服器遭受攻擊, 失去連線 00:10 網頁網絡出現故障,0408521 啟動數據隔離程序, 啟動失敗? 00:25 0808521 嘗試人手管理 NTRMS, 登入失敗 01:00 AD Network VLAN 失去連線 01:10 0808521 強制終止對外連線, 啟動網際網絡隔離程序
01:12 0408521 強制關閉所有 LDAP 連線, 並嘗試進行 AD Recovery Process 01:25 0118521 確認了 AD 系統已經完全失去控制 01:32 檔案伺服器遭受入侵, 失去連線 01:34 數據核心路由及交換系統失去連線 01:53 網絡核心交換裝置嘗試重新啟動 02:00 0808521 確認轉移服務到災難備援系統 02:01 強制性路由取代及轉移裝置成功啟動 02:02 發佈強制性關閉程序 (Active Directory) 02:03 終止所有 MCNS 發出的連接指令 02:04 啟動全網絡還原程序 02:05 成功還原設定 02:06 成功強制關閉 10.68.1.26 02:07 成功啟用 Active Directory Recovery Process 02:14 1878521 成功重新設置 VLAN & Routing 02:19 0408521 成功重新啟動 LDAP Services 02:20 0118521 成功把 10.68.1.26 所有資料回復到 2020/05/10 08:00pm 02:25 確認所有伺服器回復正常運作 02:40 成功把主系統轉移回主生產程序 03:00 重新接受 MCNS 連線要求 03:15 系統回復正常 03:20 確認事件結束 由於是次事件涉及極大量的資訊科技專業知識, 因此並未能完全使用普通文字來作完整描述, 以下將是簡易解釋 : 由於 0458521 帳號遭受入侵同時亦擁有伺服器的 LOCAL Administrator, 因此完全控制相關伺服器網絡, 同時病毒獲得網絡控制權, 因此登入系統及系統遭受攻擊, 導致整個網絡系統未能正常運作, 已經及時轉換生產系統到災難備援系統, 確保大部分服務兩個正常維持 最終資訊科技部使用 ADRVS 回復系統運作, 並且回復各個伺服器到未被攻擊前的狀況
由於是次事件涉及嚴重的資訊安全問題, 經過跨部門會議後, 決定終止 0458521 在伺服器的 LOCAL ADMINISTRATOR 權限並禁止使用個人帳號登入到遊戲伺服器當中 同時亦會在稍後與營運部門商討重新設置伺服器帳號之密碼, 亦會開始在各個網站推行 2FA 行動 我們已經啟動相關程序, 對 0458521 帳號進行監察, 為期三個月, 並重新設置相關帳號之憑證, 關閉部分限權 我們將會繼續密切留意是次事件的進展, 並且確保我們的資訊是安全 我們將會再次召開跨部門會議商討相關事件及補救事宜 以下是財務總監經過覆核後, 確認的損失及需要重新購入的設備, 詳情請參考以下表格 : 物件 數量 預計價格 (HKD) 原因 1TB HDD 6 2748 部分硬碟遭受嚴重損壞 512GB SSD 2 1200 部分 OS SSD 遭受嚴重損壞 1GBPS 網絡卡 5 1000 部分功能受損 1GBPS 網絡卡 2 236 網絡卡受損 (4 RJ45 PORT) CISCO 交換機 1 1050 交換機功能嚴重受損 R710 1 2300 伺服器嚴重故障, 無法修復 總數 :8534 HKD 我們將會盡快向董事會申請撥款進行維修工程, 部分服務將會暫時只提供有限度服務, 希望各位職員能夠體諒 我們再次強調, 請各位保障自己的密碼及帳號安全, 並嚴格及確實執行資訊科技部要求的指引及方針, 以免再造成嚴重事故 如有任何疑問, 可以向訊息總監 Ivan Cheung 查詢, 感謝 如對上述獨立調查委員會的決定有任何意見, 需要在一星期內 WhatsApp 聯絡 Hyper Group 上訴審裁處處長 Tommy Lee (+852 53409449) 啟動相關上訴程序 委員會工作結束 HyperGroup\ 內務委員會 ( 非常設委員會 )\ 2020 年 4 月及 5 月份資訊安全事務獨立調查委員會 \ 初始化 ( 公開調查 ) 報告