黑客利用被泄露的密码入侵Colonial Pipeline的网络
网络安全公司Mandiant(隶属FireEye公司)高级副总裁Charles Carmakal在接受采访时说,黑客于4月29日通过一个虚拟私人网络账户进入Colonial Pipeline公司的网络,该账户允许员工远程访问该公司的计算机网络。他表示说,在攻击发生时,该账户已不再使用,但仍可用于访问Colonial Pipeline公司的网络。
该账户的密码后来在暗网的一批泄露的密码中被发现。他表示,这意味着Colonial Pipeline公司的一名员工可能在之前被黑的另一个账户上使用了相同的密码。然而,Carmakal说,他不确定黑客就是这样获得密码的,而且他说调查人员可能永远无法确定该密码是如何获得的。
这个VPN账户后来被停用了,它没有使用多因素认证,这是一个基本的网络安全工具,使黑客只用一个被泄露的用户名和密码就能攻破Colonial Pipeline公司的网络。目前还不知道黑客是如何获得正确的用户名的,或者他们是否能够自己确定它。
“我们对环境进行了相当详尽的搜索,试图确定他们实际上是如何得到这些凭证的,”Carmakal说。"我们没有看到任何证据表明凭证被使用的员工有网络钓鱼行为。我们没有看到4月29日之前攻击者活动的任何其他证据"。
一个多星期后,即5月7日,Colonial公司控制室的一名员工在凌晨5点前看到一张要求加密货币的勒索信息出现在电脑上。Colonial公司首席执行官 Joseph Blount在接受采访时说,这名员工通知了一名运营主管,后者立即开始启动关闭管道的程序。Blount说,到早上6点10分,整个管道已经被关闭。
Blount说,这是Colonial公司在其57年的历史上第一次关闭其整个汽油管道系统。“我们当时别无选择,”他说。“这绝对是正确的做法。当时,我们不知道谁在攻击我们,也不知道他们的动机是什么。”
在Blount下周在国会委员会作证之前,Colonial Pipeline公司让Carmakal和Blount接受了采访,预计他将在采访中提供更多关于入侵范围的细节,并谈到该公司向攻击者支付赎金的决定。
Colonial公司关闭的消息没过多久就传开了。该公司的系统每天将大约250万桶燃料从墨西哥湾沿岸运往东部沿海地区。停运导致加油站排起了长队,许多加油站的油都用完了,燃料价格也上涨。Colonial 公司于5月12日开始恢复服务。
袭击发生后不久,Colonial公司开始对管道进行详尽的检查,在地面和空中追踪29000英里,寻找明显的损坏。该公司最终确定管道没有损坏。
同时,Mandiant公司正在清扫网络,以了解黑客入侵的范围,同时安装新的检测工具,以提醒Colonial 任何后续的攻击。Carmakal说,这在大规模入侵后并不罕见。调查人员没有发现任何证据表明同一组黑客试图重新获得访问权。
“我们最不希望的是,威胁者能够主动进入一个对管道有任何可能风险的网络。这是最大的焦点,直到它被重新打开,”Carmakal说。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文