来源 / cnBeta
据报道,据一位应对此次攻击的网络安全顾问称,导致美国最大燃油管道运营商Colonial Pipeline关键燃油网络瘫痪并导致整个东海岸燃料供应短缺的黑客攻击是由一个被泄露的密码造成的。
网络安全公司Mandiant(隶属FireEye公司)高级副总裁Charles Carmakal在接受采访时说,黑客于4月29日通过一个虚拟私人网络账户进入Colonial Pipeline公司的网络,该账户允许员工远程访问该公司的计算机网络。他表示说,在攻击发生时,该账户已不再使用,但仍可用于访问Colonial Pipeline公司的网络。
该账户的密码后来在暗网的一批泄露的密码中被发现。他表示,这意味着Colonial Pipeline公司的一名员工可能在之前被黑的另一个账户上使用了相同的密码。然而,Carmakal说,他不确定黑客就是这样获得密码的,而且他说调查人员可能永远无法确定该密码是如何获得的。
这个VPN账户后来被停用了,它没有使用多因素认证,这是一个基本的网络安全工具,使黑客只用一个被泄露的用户名和密码就能攻破Colonial Pipeline公司的网络。目前还不知道黑客是如何获得正确的用户名的,或者他们是否能够自己确定它。
“我们对环境进行了相当详尽的搜索,试图确定他们实际上是如何得到这些凭证的,”Carmakal说。“我们没有看到任何证据表明凭证被使用的员工有网络钓鱼行为。我们没有看到4月29日之前攻击者活动的任何其他证据”。
赎金票据
一个多星期后,即5月7日,Colonial公司控制室的一名员工在凌晨5点前看到一张要求加密货币的勒索信息出现在电脑上。Colonial公司首席执行官 Joseph Blount在接受采访时说,这名员工通知了一名运营主管,后者立即开始启动关闭管道的程序。Blount说,到早上6点10分,整个管道已经被关闭。
Blount说,这是Colonial公司在其57年的历史上第一次关闭其整个汽油管道系统。“我们当时别无选择,”他说。“这绝对是正确的做法。当时,我们不知道谁在攻击我们,也不知道他们的动机是什么。”
在Blount下周在国会委员会作证之前,Colonial Pipeline公司让Carmakal和Blount接受了采访,预计他将在采访中提供更多关于入侵范围的细节,并谈到该公司向攻击者支付赎金的决定。
Colonial公司关闭的消息没过多久就传开了。该公司的系统每天将大约250万桶燃料从墨西哥湾沿岸运往东部沿海地区。停运导致加油站排起了长队,许多加油站的油都用完了,燃料价格也上涨。Colonial 公司于5月12日开始恢复服务。
袭击发生后不久,Colonial公司开始对管道进行详尽的检查,在地面和空中追踪29000英里,寻找明显的损坏。该公司最终确定管道没有损坏。
同时,Mandiant公司正在清扫网络,以了解黑客入侵的范围,同时安装新的检测工具,以提醒Colonial 任何后续的攻击。Carmakal说,这在大规模入侵后并不罕见。调查人员没有发现任何证据表明同一组黑客试图重新获得访问权。
“我们最不希望的是,威胁者能够主动进入一个对管道有任何可能风险的网络。这是最大的焦点,直到它被重新打开,”Carmakal说。