Κυβερνοεπίθεση στην Colonial Pipeline: Η παραβίαση του password και το σημείωμα για τα λύτρα από τους hackers

Η κυβερνοεπίθεση που έθεσε εκτός λειτουργίας τα συστήματα του μεγαλύτερου αγωγού μεταφοράς καυσίμων στις ΗΠΑ και οδήγησε σε ελλείψεις στις περισσότερες πολιτείας της Ανατολικής Ακτής ήταν το αποτέλεσμα της παραβίασης ενός μόνο κωδικού πρόσβασης (password), σύμφωνα με σύμβουλο ασφάλειας στον κυβερνοχώρο οποίος ανέλαβε στην αντιμετώπιση της επίθεσης, την μαρτυρία του οποίου επικαλείται δημοσίευμα του Bloomberg την Παρασκευή 4 Ιουνίου 2021 .

Η κερκόπορτα

Οι hackers απέκτησαν είσοδο στα δίκτυα της Colonial Pipeline Co. στις 29 Απριλίου 2021 μέσω ενός εικονικού ιδιωτικού λογαριασμού δικτύου (VPN), που επέτρεπε στους υπαλλήλους να έχουν απομακρυσμένη πρόσβαση στο δίκτυο υπολογιστών της εταιρείας, δήλωσε ο Charles Carmakal, αντιπρόεδρος της εταιρείας κυβερνοασφάλειας Mandiant, θυγατρικής της FireEye Inc. σε συνέντευξη.
Ο λογαριασμός δεν ήταν πλέον σε χρήση τη στιγμή της επίθεσης, αλλά θα ήταν δυνατόν να χρησιμοποιηθεί για πρόσβαση στο δίκτυο της Colonial, σημείωσε.

Στο dark web

Έκτοτε, ο κωδικός πρόσβασης του λογαριασμού ανακαλύφθηκε μέσα σε μια ομάδα κωδικών πρόσβασης που έχουν διαρρεύσει στο dark web.
Αυτό σημαίνει ότι ένας υπάλληλος της Colonial ενδέχεται να έχει χρησιμοποιήσει τον ίδιο κωδικό πρόσβασης σε έναν άλλο λογαριασμό ο οποίος είχε προηγουμένως παραβιαστεί, σημείωσε. Ωστόσο, ο Carmakal είπε ότι δεν είναι σίγουρος με αυτόν τον τρόπο οι χάκερ έλαβαν τον κωδικό πρόσβασης και είπε ότι οι ερευνητές μπορεί να μην ξέρουν ποτέ με βεβαιότητα πώς αποκτήθηκε η δυνατότητα πρόσβασης στα συστήματα.

Η πρόσβαση 

Ο λογαριασμός VPN, ο οποίος έκτοτε απενεργοποιήθηκε, δεν χρησιμοποίησε έλεγχο ταυτότητας πολλαπλών παραγόντων, ένα βασικό εργαλείο ασφάλειας στον κυβερνοχώρο, επιτρέποντας στους εισβολείς να παραβιάσουν το δίκτυο της Colonial χρησιμοποιώντας μόνο ένα παραβιασμένο όνομα χρήστη και κωδικό πρόσβασης.
Δεν είναι γνωστό εάν οι εισβολείς γνώριζαν το σωστό όνομα χρήστη ή αν μπόρεσαν να το αλλάξουν.
«Κάναμε μια αρκετά εξαντλητική έρευνα του περιβάλλοντος προκειμένου να προσδιορίσουμε πώς κατάφεραν να ταυτοποιήσουν τα στοιχεία τους», δήλωσε ο Carmakal.
«Δεν βλέπουμε κανένα στοιχείο της τεχνικής phishing (υποκλοπής) για τον υπάλληλο τα στοιχεία του οποίυο χρησιμοποιήθηκαν.
Δεν έχουμε δει άλλα στοιχεία που να υποδεικνόυν κυβερνοεπίθεση πριν από τις 29 Απριλίου 2021.

Το σημείωμα

Λίγο περισσότερο από μία εβδομάδα αργότερα, στις 7 Μαΐου, ένας υπάλληλος στην αίθουσα ελέγχου της Colonial εντόπισε το σημείωμα για τα λύτρα σε κρυπτονομίσματα να εμφανίζεται σε έναν υπολογιστή λίγο πριν τις 5 π.μ.
Ο υπάλληλος ειδοποίησε έναν επόπτη ο οποίος άρχισε αμέσως τη διαδικασία τερματισμού του αγωγού , δήλωσε ο διευθύνων σύμβουλος της Colonial Joseph Blount σε συνέντευξή του.
Έως τις 6:10 π.μ., ολόκληρος ο αγωγός τέθηκε εκτός λειτουργίας, δήλωσε ο Blount.

«Ήταν σωστό»

Ήταν η πρώτη φορά που η Colonial έκλεισε ολόκληρο το σύστημα αγωγών στην ιστορία της 57 ετών, δήλωσε ο Blount.
«Δεν είχαμε άλλη επιλογή σε αυτό το σημείο», είπε.
«Ήταν απολύτως το σωστό.
Εκείνη την στιγμή, δεν είχαμε ιδέα ποιος μας επιτέθηκε ή ποια ήταν τα κίνητρα της επίθεσης».

Ομάδα DarkSide

Η Colonial κατέβαλε στους hackers συνεργάτες μιας ομάδας που διεξάγει κυβερνοεπιθέσεις και συνδέεται με τη Ρωσία, γνωστή ως DarkSide, 4,4 εκατομμύρια δολάρια λύτρα λίγο μετά την εισβολή.
Οι hakers απέσπασαν επίσης σχεδόν 100 gigabytes δεδομένων από την Colonial Pipeline και απείλησαν να τα διαρρεύσουν εάν δεν είχαν πληρωθεί τα λύτρα, σύμφωνα με το Bloomberg News τον περασμένο μήνα.

www.bankingnews.gr