Switch Down, Misteri Laptop Tidak Bertuan di Server Room
Dah lama tak dapat kes menarik bila sarung topi cybersecurity di siang hari. Pagi tadi masuk pula emergency message daripada big boss.
“Kes daripada Malaysia. Switch Fortinet di Bangunan Melur (bukan nama sebenar) tingkat 26 dah kejung 12AM tadi. Tolong siasat dan bagi report pada saya petang nanti!”
Kebiasaannya pada waktu pagi sempatlah saya bergomol sekejap dengan Humaira’ sebelum mama dia suapkan makanan dan mandi. Lepastu barulah saya akan fokus pada vulnerability reports for related countries.
Disebabkan kejutan mesej pagi tadi, start je working hours saya terus fokus perah otak depan laptop and go through kes kali ni. Operation di Malaysia akan terjejas teruk bila switch tu down.
Switch tu down means, employees tak boleh buat kerja. Bila employees tak boleh buat kerja means, client akan cabut lari. Bila client akan cabut lari means, company tak boleh buat keuntungan. Bila company tak boleh buat keuntungan, abang Jamil jual takoyaki. Tiber…
Kami pun roger lah team IT Malaysia untuk assess the situation.
Katanya, temporary solutions memang dah applied pukul 2AM semalam. Macam biasa, magic fix dia just reboot switch tu dan semuanya working as usual. Heh.
Tapi bak kata bigboss,
“Kita perlukan solution untuk akarnya. Bukan sementara!”
Tudiaaa. Bigboss ni cool je sebenarnya tapi bila masuk je bab kerja, semua dia sapu rata kalau tak competent.
Back to our story, mula-mula kami sendiri disabitkan dalam kes ni sebab ada traces of high network traffic yang berpunca daripada internal vulnerability scanner kami.
Big boss kata ada third party blame kami sebab timing tu kena dengan scheduled scan kami. Memang team saya lah yang kena tuding jari dulu sebab kitaorang memang akan buat mild brute-forcing for default password (tak intrusive pun).
Mulanya kami pun pelik jugak sebab kalau tuduhan tu betul mesti every week switch tu hang. Kan?
Untuk membuktikan benang kami tidak basah, kami pun go through lah logs dengan Network Team Malaysia ni.
Lebih kurang 15 minit, kami berjaya locate source IP dalam kes ni dan terbuktilah punca kejadian ni bukan daripada kami.
Dalang yang sebenar adalah malicious internal IP yang apabila kami kesan, ianya datang daripada sebuah machine yang ada di dalam salah satu building sites dorang sendiri. Nah!
Masa kami locate source IP tu it is still sending traffic dekat switch tu.
Mungkin laptop salah seorang employee yang tak sedar laptop dia dah infected ataupun memang ada malicious machine yang dah bertapak dalam internal network dorang.
Yang peliknya IP ni takde dalam asset list dorang. Domain pun tak connected. AV pun tak boleh reach (means tak installed).
Dekat sini kita boleh nampak betapa pentingnya asset listing. Lagi-lagi kalau dah tahu company tu ramai pekerja. Satu lagi, kalau basic AV pun tak deploy betul-betul untuk related assets. Memang cari penyakit.
Habistu nak buat macam mana? IP ni masih dalam black area, padahal internal IP kot!
Kami pun requestlah untuk dorang verify manually. Lagipun, dengan IP tu dorang boleh je locate machine tu connected dekat bangunan mana dan tingkat berapa. Cuma exact location perlukan kepastian.
Sama ada team Malaysia terlepas pandang atau memang ada malicious intention internally/externally. Itu yang kami kena verify.
Sebab tu kalau company yang jenis implement cybersecurity policy just for the sake of auditing certification ni saya turned off sikit. Kita layan je lah, hopefully nanti dah kena breach tak terkejut beruk dan mampu sedar semula.
Not sure if it’s just me but susah juga nak jumpa company yang jujur nak secure kan IT infrastructure dorang. Tak banyak, tapi ada. Tengok je lah cyber breach news tu.
Waktu Asar tadi, finally dorang berjaya jumpa exact location pemilik IP address tu — sebuah laptop kecil tak bertuan yang diletakkan di dalam salah satu server room dorang. Bam!
Ada sehelai sticky note melekat pada badan laptop yang tertulis,
“Level 21 Monitoring — Do not turn off.”
Pelik bin ajaib. Tah celah mana pulak boleh ada laptop dalam server room dorang. Kitaorang pun hantarlah info tu ke Ranger Team untuk verify siapa pemilik machine tu dan kenapa, bagaimana, macam mana laptop tu ada dekat dalam tu.
Rupa-rupanya machine ni milik Akif (bukan nama sebenar) yang dah berhenti kerja, 3 bulan yang lalu.
Alkisahnya, dulu Akif ni pernah bekerja sekejap as network contractor untuk assist Network Team Malaysia ni yang masa tu sedang haru biru nak setup kan network masa mula-mula fasa work-from-home haritu.
Ranger Team kata, Akif park machine tu dekat situ sebab nak monitor salah satu private project dekat site Malaysia ni.
Bertambah-tambahlah pelik, dah lah VLAN dekat server room tu memang tak boleh reach project private tu. Big boss pun tak aware langsung pasal ni (big boss selalu jadi kambing hitam untuk team Malaysia, sebab team lead dekat Malaysia selalu missing in action). Walhal, big boss lah yang selalunya terpaksa menurunkan approval.
Yang paling pelik, harini baru dorang aware tentang kewujudan machine tu. Berapa banyak security policy dah dorang langgar tu. Phew.
Apa pun alhamdulillah, selesai! Boleh lah tarik nafas lega sekejap bila dah tahu punca. Laptop tu pun dorang dah unplug accordingly. Traffic dekat firewall dengan switch pun dah reda.
Esok kena sambung bedah siasat bahan bukti pula nak tengok apa sebenarnya yang bersarang dekat dalam tu. Insya-Allah kami tolong mana mampu.
Sekian.
Dah malam hari ni sarung topi ghostwriter pulak. Syukurlah client sorang ni santai dan tak rushing nak siapkan buku dia.
Thank you for understanding sir!
*OSINT folks tak payah lah cari location gambar ni. Kerja tetap P&C guys!
Penulisan ini asalnya ditulis pada tarikh 16 Zulkaedah 1443 / 16 Jun 2022.
