黑客利用被洩露的密碼入侵Colonial Pipeline的網絡
據彭博社報導,據一位應對此次攻擊的網絡安全顧問稱,導緻美國最大燃油管道運營商Colonial Pipeline關鍵燃油網絡癱瘓並導致整個東海岸燃料供應短缺的黑客攻擊是由一個被洩露的密碼造成的。
網絡安全公司Mandiant(隸屬FireEye公司)高級副總裁Charles Carmakal在接受采訪時說,黑客於4月29日通過一個虛擬私人網絡賬戶進入Colonial Pipeline公司的網絡,該賬戶允許員工遠程訪問該公司的計算機網絡。他表示說,在攻擊發生時,該賬戶已不再使用,但仍可用於訪問Colonial Pipeline公司的網絡。
該賬戶的密碼後來在暗網的一批洩露的密碼中被發現。他表示,這意味著Colonial Pipeline公司的一名員工可能在之前被黑的另一個賬戶上使用了相同的密碼。然而,Carmakal說,他不確定黑客就是這樣獲得密碼的,而且他說調查人員可能永遠無法確定該密碼是如何獲得的。
這個VPN賬戶後來被停用了,它沒有使用多因素認證,這是一個基本的網絡安全工具,使黑客只用一個被洩露的用戶名和密碼就能攻破Colonial Pipeline公司的網絡。目前還不知道黑客是如何獲得正確的用戶名的,或者他們是否能夠自己確定它。
“我們對環境進行了相當詳盡的搜索,試圖確定他們實際上是如何得到這些憑證的,”Carmakal說。”我們沒有看到任何證據表明憑證被使用的員工有網絡釣魚行為。我們沒有看到4月29日之前攻擊者活動的任何其他證據”。
贖金票據
一個多星期後,即5月7日,Colonial公司控制室的一名員工在凌晨5點前看到一張要求加密貨幣的勒索信息出現在電腦上。Colonial公司首席執行官Joseph Blount在接受采訪時說,這名員工通知了一名運營主管,後者立即開始啟動關閉管道的程序。Blount說,到早上6點10分,整個管道已經被關閉。
Blount說,這是Colonial公司在其57年的歷史上第一次關閉其整個汽油管道系統。“我們當時別無選擇,”他說。“這絕對是正確的做法。當時,我們不知道誰在攻擊我們,也不知道他們的動機是什麼。”
在Blount下週在國會委員會作證之前,Colonial Pipeline公司讓Carmakal和Blount接受了採訪,預計他將在採訪中提供更多關於入侵範圍的細節,並談到該公司向攻擊者支付贖金的決定。
Colonial公司關閉的消息沒過多久就傳開了。該公司的系統每天將大約250萬桶燃料從墨西哥灣沿岸運往東部沿海地區。停運導致加油站排起了長隊,許多加油站的油都用完了,燃料價格也上漲。Colonial 公司於5月12日開始恢復服務。
襲擊發生後不久,Colonial公司開始對管道進行詳盡的檢查,在地面和空中追踪29000英里,尋找明顯的損壞。該公司最終確定管道沒有損壞。
同時,Mandiant公司正在清掃網絡,以了解黑客入侵的範圍,同時安裝新的檢測工具,以提醒Colonial 任何後續的攻擊。Carmakal說,這在大規模入侵後並不罕見。調查人員沒有發現任何證據表明同一組黑客試圖重新獲得訪問權。
“我們最不希望的是,威脅者能夠主動進入一個對管道有任何可能風險的網絡。這是最大的焦點,直到它被重新打開,”Carmakal說。