信息來源:Cnbeta
據(jù)彭博社報道��,據(jù)一位應(yīng)對此次攻擊的網(wǎng)絡(luò)安全顧問稱��,導(dǎo)致美國最大燃油管道運營商Colonial Pipeline關(guān)鍵燃油網(wǎng)絡(luò)癱瘓并導(dǎo)致整個東海岸燃料供應(yīng)短缺的黑客攻擊是由一個被泄露的密碼造成的��。
網(wǎng)絡(luò)安全公司Mandiant(隸屬FireEye公司)高級副總裁Charles Carmakal在接受采訪時說��,黑客于4月29日通過一個虛擬私人網(wǎng)絡(luò)賬戶進入Colonial Pipeline公司的網(wǎng)絡(luò)��,該賬戶允許員工遠程訪問該公司的計算機網(wǎng)絡(luò)��。他表示說��,在攻擊發(fā)生時��,該賬戶已不再使用��,但仍可用于訪問Colonial Pipeline公司的網(wǎng)絡(luò)��。
該賬戶的密碼后來在暗網(wǎng)的一批泄露的密碼中被發(fā)現(xiàn)��。他表示��,這意味著Colonial Pipeline公司的一名員工可能在之前被黑的另一個賬戶上使用了相同的密碼��。然而��,Carmakal說��,他不確定黑客就是這樣獲得密碼的��,而且他說調(diào)查人員可能永遠無法確定該密碼是如何獲得的��。
這個VPN賬戶后來被停用了��,它沒有使用多因素認證��,這是一個基本的網(wǎng)絡(luò)安全工具��,使黑客只用一個被泄露的用戶名和密碼就能攻破Colonial Pipeline公司的網(wǎng)絡(luò)��。目前還不知道黑客是如何獲得正確的用戶名的��,或者他們是否能夠自己確定它��。
“我們對環(huán)境進行了相當(dāng)詳盡的搜索��,試圖確定他們實際上是如何得到這些憑證的��,”Carmakal說��。"我們沒有看到任何證據(jù)表明憑證被使用的員工有網(wǎng)絡(luò)釣魚行為��。我們沒有看到4月29日之前攻擊者活動的任何其他證據(jù)"��。
贖金票據(jù)
一個多星期后��,即5月7日,Colonial公司控制室的一名員工在凌晨5點前看到一張要求加密貨幣的勒索信息出現(xiàn)在電腦上��。Colonial公司首席執(zhí)行官 Joseph Blount在接受采訪時說��,這名員工通知了一名運營主管��,后者立即開始啟動關(guān)閉管道的程序��。Blount說��,到早上6點10分��,整個管道已經(jīng)被關(guān)閉��。
Blount說��,這是Colonial公司在其57年的歷史上第一次關(guān)閉其整個汽油管道系統(tǒng)��?�!拔覀儺?dāng)時別無選擇��,”他說��?�!斑@絕對是正確的做法��。當(dāng)時��,我們不知道誰在攻擊我們��,也不知道他們的動機是什么��?�!?
在Blount下周在國會委員會作證之前��,Colonial Pipeline公司讓Carmakal和Blount接受了采訪��,預(yù)計他將在采訪中提供更多關(guān)于入侵范圍的細節(jié)��,并談到該公司向攻擊者支付贖金的決定��。
Colonial公司關(guān)閉的消息沒過多久就傳開了��。該公司的系統(tǒng)每天將大約250萬桶燃料從墨西哥灣沿岸運往東部沿海地區(qū)��。停運導(dǎo)致加油站排起了長隊��,許多加油站的油都用完了��,燃料價格也上漲。Colonial 公司于5月12日開始恢復(fù)服務(wù)��。
襲擊發(fā)生后不久��,Colonial公司開始對管道進行詳盡的檢查��,在地面和空中追蹤29000英里��,尋找明顯的損壞��。該公司最終確定管道沒有損壞��。
同時��,Mandiant公司正在清掃網(wǎng)絡(luò)��,以了解黑客入侵的范圍��,同時安裝新的檢測工具��,以提醒Colonial 任何后續(xù)的攻擊��。Carmakal說��,這在大規(guī)模入侵后并不罕見��。調(diào)查人員沒有發(fā)現(xiàn)任何證據(jù)表明同一組黑客試圖重新獲得訪問權(quán)��。
“我們最不希望的是��,威脅者能夠主動進入一個對管道有任何可能風(fēng)險的網(wǎng)絡(luò)��。這是最大的焦點��,直到它被重新打開��,”Carmakal說��。
