Hack-ul care a dus la cea mai mare conductă de combustibil din SUA și a condus la lipsuri pe Coasta de Est a fost rezultatul unei singure parole compromise, potrivit unui consultant în securitate cibernetică care a răspuns atacului.
Hackerii au intrat în rețelele Colonial Pipeline Co. pe 29 aprilie printr-un cont de rețea privată virtuală, care le-a permis angajaților să acceseze de la distanță rețeaua de calculatoare a companiei, a declarat Charles Carmakal, vicepreședinte senior la firma de securitate cibernetică Mandiant, parte a FireEye Inc. într-un interviu. Contul nu mai era utilizat în momentul atacului, dar putea fi folosit pentru a accesa rețeaua Colonial, a spus el.
Parola contului a fost descoperită de atunci într-un lot de parole scurse pe dark web. Asta înseamnă că un angajat Colonial ar fi putut folosi aceeași parolă pe un alt cont care a fost anterior piratat, a spus el. Cu toate acestea, Carmakal a spus că nu este sigur că așa au obținut parola hackerii și a spus că anchetatorii nu ar putea ști niciodată cu siguranță cum a fost obținută acreditarea.
Contul VPN, care a fost dezactivat de atunci, nu a folosit autentificarea multifactorială, un instrument de bază pentru securitatea cibernetică, permițând hackerilor să încalce rețeaua Colonial folosind doar un nume de utilizator și o parolă compromise. Nu se știe cum hackerii au obținut numele de utilizator corect sau dacă au reușit să îl determine singuri.
“Am făcut o căutare destul de exhaustivă a mediului înconjurător pentru a încerca să stabilim cum au obținut aceste acreditări”, a spus Carmakal. „Nu vedem nicio dovadă de phishing pentru angajatul ale cărui acreditări au fost utilizate. Nu am văzut nicio altă dovadă a activității atacatorului înainte de 29 aprilie ”.
Colonial a plătit hackerilor, care erau afiliați unui grup de criminalitate informatică legat de Rusia, cunoscut sub numele de DarkSide, o răscumpărare de 4,4 milioane de dolari la scurt timp după hack [File: Samuel Corum/Bloomberg]Răscumpărare
Puțin mai mult de o săptămână mai târziu, pe 7 mai, un angajat din camera de control a Colonialului a văzut o notă de răscumpărare prin care cerea criptomonedă să apară pe computer chiar înainte de ora 5 dimineața. Angajatul a notificat un supraveghetor de operațiuni care a început imediat să înceapă procesul de închidere a conductei , A declarat directorul executiv al coloniei Joseph Blount într-un interviu. Până la 6:10 dimineața, întreaga conductă fusese închisă, a spus Blount.
A fost pentru prima dată când Colonial a închis întregul sistem de conducte pe benzină în istoria sa de 57 de ani, a spus Blount. „Nu am avut de ales în acel moment”, a spus el. „A fost absolut corect. La acea vreme, habar nu aveam cine ne atacă sau care sunt motivele lor. ”
Colonial Pipeline i-a pus pe Carmakal și Blount la dispoziție pentru un interviu înainte de mărturia lui Blount săptămâna viitoare în fața comisiilor Congresului, în care se așteaptă să ofere detalii suplimentare cu privire la sfera compromisului și să abordeze decizia companiei de a plăti răscumpărarea atacatorilor.
Nu a durat mult până când s-au răspândit știrile despre închiderea Colonialului. Sistemul companiei transportă zilnic aproximativ 2,5 milioane de barili de combustibil de pe coasta Golfului până la malul estic. Panoul a dus la linii lungi la benzinării, dintre care multe s-au epuizat, și la prețuri mai mari la combustibil. Colonial a început reluarea serviciului pe 12 mai.
La scurt timp după atac, Colonial a început o examinare exhaustivă a conductei, urmărind 29.000 de mile pe sol și prin aer pentru a căuta daune vizibile. Compania a stabilit în cele din urmă că conducta nu a fost deteriorată.
Rețea de măturat
Între timp, Mandiant mătura rețeaua pentru a înțelege cât de mult au cercetat hackerii în timp ce instalau noi instrumente de detectare care l-ar alerta pe Colonial cu privire la orice atacuri ulterioare – care nu sunt neobișnuite după o încălcare substanțială, a spus Carmakal. Anchetatorii nu au găsit nicio dovadă că același grup de hackeri a încercat să recâștige accesul.
„Ultimul lucru pe care l-am dorit a fost ca un actor de amenințare să aibă acces activ la o rețea în care există orice risc posibil pentru o conductă. Acesta a fost cel mai mare accent până când a fost repus în funcțiune ”, a spus Carmakal.
Mandiant a urmărit, de asemenea, mișcările hackerilor din rețea pentru a determina cât de aproape au ajuns de sistemele compromisoare adiacente rețelei tehnologice operaționale a Colonialului – sistemul de computere care controlează fluxul real de benzină. În timp ce hackerii s-au deplasat în cadrul rețelei de tehnologie informațională a companiei, nu a existat nicio indicație că ar putea încălca sistemele tehnologice operaționale mai critice, a spus el.
Abia după ce Mandiant și Colonial au reușit să stabilească în mod concludent că atacul a fost limitat, au considerat că își vor redeschide conducta, a spus Blount.
Colonial a plătit hackerilor, care erau afiliați unui grup de criminalitate cibernetică legat de Rusia, cunoscut sub numele de DarkSide, o răscumpărare de 4,4 milioane de dolari la scurt timp după hack. Hackerii au furat, de asemenea, aproape 100 de gigaocteți de date de la Colonial Pipeline și au amenințat că le vor scurge dacă răscumpărarea nu va fi plătită, a raportat Bloomberg News luna trecută.
Colonial l-a angajat pe Rob Lee, fondatorul și directorul executiv al companiei Dragos Inc., o firmă de securitate cibernetică care se concentrează pe sistemele de control industrial, și pe John Strand, proprietar și analist de securitate la Black Hills Information Security, pentru a se consulta cu privire la apărarea cibernetică și concentrați-vă pe evitarea atacurilor viitoare.
În urma atacului asupra companiei sale, Blount a spus că ar dori ca guvernul SUA să meargă după hackerii care au găsit un refugiu sigur în Rusia. „În cele din urmă, guvernul trebuie să se concentreze asupra actorilor înșiși. În calitate de companie privată, nu avem capacitatea politică de a închide țările gazdă care au acești actori răi în ei. ”
.
Sursa