Sursa foto: Pixabay
Atacul cibernetic care a vizat cea mai mare conductă de combustibil din Statele Unite și a dus la o penurie a acestuia pe întreaga coastă de est a țării, a fost rezultatul unei singure parole compromise, informează un consultant în securitate cibernetică, citat de Bloomberg.
Atacul a avut loc pe data de 29 aprilie 2021, și a fost efectuat prin intermediul unui VPN (Virtual Private Network), care era folosit de angajați pentru a accesa rețeaua principală de computere a companiei, spune Charles Carmakal, vicepreședintele firmei de securitate cibernetică Mandiant. Contul utilizat pentru a demara atacul nu ar mai fi trebuit să poată fi folosit, fiind declarat inactiv, însă oferea în continuare acces la rețeaua celor de la Colonial.
Parola în cauză a fost descoperită într-un grup de parole compromise, vândute pe dark web, ceea ce indică faptul că un angajat al Colonial folosea probabil aceeași parolă pentru un alt cont. De asemenea, VPN-ul utilizat nu folosea posibilitatea de autentificare în doi factori (care cere o verificare în plus, prin trimiterea unui cod pe un număr de telefon sau o adresă de email), una dintre cele mai populare funcții de securitate integrate în ultimii ani de majoritatea site-urilor și companiilor.
Recomandări Video
Articolul continuă mai jos
Carmakal specifică faptul că respectivul cont a fost între timp dezactivat și nu mai poate fi folosit, însă spune că nu se știe cum au făcut rost hackerii din gruparea Darkside de numele de utilizator al contului sau dacă au reușit să îl afle pe cont propriu. „Am întocmit o căutare destul de amănunțită pentru a determina felul în care au obținut datele de conectare” spune Carmakal, care adaugă că „nu au fost găsite dovezi de phishing asupra angajatului ale căror date de conectare au fost utilizate. Nu am observat nicio altă dovadă a unui atac înainte de 29 aprilie”.
Povestea atacului
Pe 7 mai, la scurt timp după ora 05:00, un angajat din camera de control a Colonial a observat o cerere de recompensă pe unul dintre computerele companiei, care specifica faptul că atacatorii doresc să fie plătiți în criptomonede. A urmat închiderea completă a conductei pe care 45% din coasta de est a SUA se bazează pentru combustibil. Problema a durat cinci zile, timp în care peste 10.000 de benzinării din sud-estul SUA au rămas fără combustibil, iar locatarii acestor zone au încercat cu disperare să își facă „provizii”, imaginile cu benzina în pungi de plastic făcând înconjurul lumii.
Recompensa cerută de Darkside, în valoare de 4,4 milioane de dolari în Bitcoin, a fost plătită până la urmă de Colonial Pipeline pentru a primi unealta de decriptare necesară eliberării conductei. „Datoria noastră este în primul rând față de poporul american” spunea Joseph Blount, CEO-ul companiei, într-un interviu pentru NPR. „Dacă să obținem acea unealtă de decriptare ne ajută să rezolvăm mai repede problema, atunci trebuie să luăm această decizie… A fost decizia corectă pentru țară” motivează Blount în același interviu.
Firma de securitate cibernetică Mandiant a fost ulterior contactată de Colonial pentru a investiga care au fost fișierele compromise, ajunse pe mâinile hackerilor, dar și pentru a instala noi unelte de detecție care să alerteze compania în cazul unor atacuri ulterioare. Până acum, Darkside nu a încercat să pătrundă din nou în rețeaua Colonial Pipeline.