Кибератака на Colonial Pipeline стала возможна из-за утечки пароля
Кибератака на оператора крупнейшего трубопровода в США стала возможна из-за утечки пароля одного из сотрудников, сообщил эксперт, устранявший последствия взлома. Ранее ФБР обвинило в атаке хакерскую группу, которую связывают с Россией
Хакеры, причастные к кибератаке на оператора крупнейшего в США трубопровода Colonial Pipeline, получили доступ к сети компании благодаря утечке пароля. Об этом Bloomberg сообщил старший вице-президент компании Mandiant Чарльз Кармакал, отвечавший за устранение последствий взлома.
По его словам, злоумышленники смогли взломать Colonial Pipeline через аккаунт одного из сотрудников в VPN-сервисе, необходимом для удаленного доступа к компьютерным сетям компании. Пароль от учетной записи позднее обнаружили в дарквебе. Это может говорить о том, что работник использовал для подключения аналогичный пароль от другого аккаунта, который взломали ранее, пояснил Кармакал.
Он отметил, что доступ к VPN не был защищен двухфакторной аутентификацией, поэтому хакеры смогли зайти в аккаунт, используя лишь логин и пароль. Как именно они получили доступ к утекшему паролю и логину сотрудника Colonial Pipeline, остается неизвестным. «Мы достаточно тщательно изучили среду, чтобы определить, как [злоумышленники] получили данные для входа. Мы не нашли признаков фишинга против сотрудника, чьи данные были использованы», — рассказал эксперт.
Colonial Pipeline объявила о том, что подверглась хакерской атаке, 7 мая. Взлом вынудил компанию временно перекрыть трубопровод, который обеспечивает поступление примерно 45% топлива, потребляемого на восточном побережье США. 10 мая Федеральное бюро расследований США заявило, что атаку провела преступная группировка DarkSide. Хакеры, вероятно, находятся в России или Восточной Европе, писала The Wall Street Journal со ссылкой на западных экспертов по безопасности.
Бенефициары взлома: кто выиграет от кибератаки на трубопровод Colonial Pipeline
Через несколько часов после атаки Colonial Pipeline заплатила хакерам $4,4 млн выкупа в криптовалюте. По словам главы компании Джозефа Блаунта, решение заплатить вымогателям было вызвано необходимостью скорейшего восстановления работы трубопровода. «Я знаю, что это очень спорное решение. Оно далось мне нелегко. Признаюсь, было неприятно видеть, как деньги уходят к таким людям. Но это было правильно для страны», — заявил он.