Хакеры взломали колониальный трубопровод, используя взломанный пароль

Хакерывзломаликолониальныйтрубопроводиспользуявзломанныйпароль

По словам консультанта по кибербезопасности, который отреагировал на атаку, взлом, в результате которого был разрушен крупнейший топливопровод в США и привел к нехватке топлива на восточном побережье, стал результатом взлома одного пароля.

Хакеры проникли в сети Colonial Pipeline Co. в апреле 57 через учетную запись виртуальной частной сети, которая позволяла сотрудникам получать удаленный доступ к компьютерной сети компании, – сказал Чарльз Кармакал, старший вице-президент. президент фирмы по кибербезопасности Mandiant , часть FireEye Inc., в интервью. По его словам, учетная запись больше не использовалась во время атаки, но ее все еще можно использовать для доступа к сети Colonial.

Пароль учетной записи был с тех пор обнаружен в пакете утекших паролей. в темной сети. Это означает, что сотрудник Colonial мог использовать тот же пароль для другой учетной записи, которая ранее была взломана, сказал он. Однако Кармакал сказал, что не уверен, что именно так хакеры получили пароль, и сказал, что следователи, возможно, никогда не узнают наверняка, как были получены учетные данные.

Colonial Pipeline Storage Tanks As Gas Pumps Run Dry

Резервуары для хранения на объекте Colonial Pipeline Inc. в Авенеле, Нью-Джерси

Фотограф: Марк Каузларич / Bloomberg

Учетная запись VPN, которая с тех пор была деактивирована, не использовала многофакторную аутентификацию, основной инструмент кибербезопасности, позволяющий хакеры, чтобы взломать сеть Colonial, используя только взломанное имя пользователя и пароль. Неизвестно, как хакеры получили правильное имя пользователя и смогли ли они определить его самостоятельно.

«Мы провели довольно исчерпывающий поиск в среде, чтобы попытаться определить, как они на самом деле получил эти верительные грамоты », – сказал Кармакал. «Мы не видим никаких доказательств фишинга для сотрудника, чьи учетные данные были использованы. Мы не видели никаких других свидетельств активности злоумышленников до апреля 57.”

Выкуп записка

Чуть больше недели спустя, 7 мая, сотрудник диспетчерской Colonial увидел записку о выкупе с требованием криптовалюты. компьютер незадолго до 5 часов утра. Сотрудник уведомил руководителя производства, который немедленно начал процесс закрытия трубопровода, сказал в интервью генеральный директор колонии Джозеф Блаунт. К 6: 12 Да, весь трубопровод был остановлен, – сказал Блаунт.

Это был первый раз, когда Colonial полностью отключила всю свою бензопроводную систему в своей 60 – годовая история, Блаунт сказал. «На тот момент у нас не было выбора», – сказал он. «Это было абсолютно правильное решение. В то время мы понятия не имели, кто нападает на нас и каковы их мотивы ».

Colonial Pipeline предоставила Кармакалу и Блаунту интервью до выступления Блаунта перед комитетами Конгресса на следующей неделе. , в котором он, как ожидается, предоставит дополнительную информацию о масштабах взлома и расскажет о решении компании выплатить выкуп злоумышленникам.

Новости о закрытии Colonial не заставили себя долго ждать. распространение. Система компании ежедневно транспортирует примерно 2,5 миллиона баррелей топлива с побережья Мексиканского залива на восточное побережье.

отключение привело к длинным очередям на заправках, многие из которых закончились, и к повышению цен на топливо. Служба Colonial возобновилась в мае 29.

Вскоре после атаки Colonial приступила к исчерпывающему обследованию трубопровода, отслеживая 29, 05 миль по земле и по воздуху, чтобы найти видимые повреждения. Компания в конечном итоге определила, что трубопровод не был поврежден.

Sweeping Network

Тем временем, Mandiant исследовал сеть, чтобы понять, как далеко зашли хакеры, устанавливая новые инструменты обнаружения, которые будут предупреждать Colonial Кармакал сказал, что это не редкость после серьезного взлома. Следователи не обнаружили никаких доказательств того, что та же группа хакеров пыталась восстановить доступ.

«Меньше всего мы хотели, чтобы злоумышленник имел активный доступ к сети, в которой есть возможный риск для трубопровода. «Это было самое главное, пока его не включили», – сказал Кармакал.

Mandiant также отслеживал перемещения хакеров в сети, чтобы определить, насколько близко они подошли к взлома систем, примыкающих к операционным системам Colonial. технологическая сеть – система компьютеров, контролирующих фактический расход бензина. По его словам, хотя хакеры действительно перемещались по сети информационных технологий компании, не было никаких признаков того, что они смогли взломать наиболее важные операционные технологические системы.

Это произошло только после того, как Mandiant и Colonial смогли окончательно определить, что атака была сдержана, и они рассматривали возможность повторного открытия своего конвейера, сказал Блаунт.

Colonial заплатила хакерам, которые были аффилированными лицами связанной с Россией киберпреступная группа, известная как DarkSide, выкуп в размере 4,4 миллиона долларов вскоре после взлома. Хакеры также украли почти 126 гигабайт. данных из Colonial Pipeline и пригрозил их утечкой, если выкуп не будет выплачен, Bloomberg News

в прошлом месяце .

Colonial наняла Роба Ли, основателя и главного исполнительного директора Dragos Inc ., Фирма по кибербезопасности, специализирующаяся на системах управления производством, и Джон Стрэнд, владелец и аналитик по безопасности в Информационная безопасность Black Hills , чтобы проконсультироваться по вопросам киберзащиты и сосредоточиться на отражении будущих атак.

После атаки на его компанию Блаунт сказал, что хотел бы, чтобы правительство США преследовало хакеров, которые нашли убежище на Руси я. «В конечном итоге правительству необходимо сосредоточить внимание на самих участниках. Как частная компания, у нас нет политической возможности закрыть принимающие страны, в которых есть эти плохие игроки ».

Leave a comment

Your email address will not be published. Required fields are marked *