Hackere skulle kun knække ét password for at få adgang til Colonial Pipeline

Illustration: Olivier Le Moal/Bigstock
Hackerne benyttede et forældet VPN-system uden tofaktor-godkendelse til at angribe Colonial Pipeline.

Hackergruppen Darkside skulle blot kende et enkelt password for at gennemføre det ransomware-angreb, der i sidste måned lammede Colonial Pipeline.

Det fortalte virksomhedens direktør, Joseph Blount, ifølge Reuters til det amerikanske senat i en høring om angrebet.

I høringen forklarede Joseph Blount, at angrebet var muligt, fordi Darkside kunne benytte et forældet VPN-system, der ikke benyttede tofaktor-godkendelse, og dermed var det altså kun et enkelt kodeord, der stod i vejen for hackergruppen.

»Det var en kompliceret adgangskode, vil jeg gerne understrege. Det var ikke en adgangskode af typen 'Colonial123,'« siger Joseph Blount ifølge Reuters.

Et lammende angreb

Angrebet på Colonial Pipeline har vakt stor opsigt. Darkside skabte seriøse forstyrrelser på Amerikas største olieledning, og angrebet bremsede i praksis forsyningen. Derefter slap hackerne afsted med en løsesum på ikke mindre end 4,4 millioner dollars.

Det lykkedes dog for de amerikanske myndigheder at beslaglægge en del af løsesummen, men angrebet har alligevel givet anledning til bekymring i USA omkring landets it-sikkerhed.

»Jeg er chokeret over, at dette brud opstod i første omgang. Tag ikke fejl. Vi bliver nødt til at tage vores cybersikkerhed alvorligt, ellers vil konsekvenserne blive store,« siger Senator Gary Peters, formanden for den komité, der stod for høringen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Cederberg

... er svært ved VPN løsninger. For grundlæggende skal man balancere ønsket om at tilgå systermer remote med sikkerhed. Selv med certificater o.lign. så skal man blot hacke brugerens remote computer for at stjæle certificater og brugerens password. Hardware store af nøgler og certificater gør en forskel men er sjældent en hindring for en hacker med store resourcer.

Men remote machines bør aldrig have adgang til andet end en jump server. Alt andet er ganske enkelt for farligt ... fx. kan en remote machine nemmere blive inficeret. En jump server introducerer endnu et niveau af sikkerhed.

Og så kan man tage det derfra med monitorering, micro-segmentering af netværk, etc.

  • 1
  • 0
#2 Klavs Klavsen

En jump server introducerer endnu et niveau af sikkerhed.

Det afhænger MEGET af hvordan du implementerer den jumpserver :) Jeg har set FLERE hvor alle nøglerne til at hoppe videre (ssh nøgler) LÅ på jumpserveren - så man skulle bare finde et lokal exploit på en maskine som sjovt nok ikke "lige blev opdateret".. og voila..

Behøver jeg at sige at jeg er STOR fan af yubikey og lign. keys -hvor SSH nøglen ligger PÅ key'en og IKKE kan stjæles? :)

Og den slags kan man sagtens route igennem en jumphost (kræver bare lige ssh config på brugersiden) - og så kan man aldrig stjæle adgangsnøgler når nogen tilgår noget via jumphosten (fordi de så ligger med ssh-forwarding som en krypteret tunnel der bare ryger ind over jumphost - men ikke kan læses derpå).

Og iøvrigt skulle de sku nok starte med at have styr på deres backup og recovery strategi - så havde de altid kunnet løse problemet - uanset hvilket sikkerhedshul de kom ind via.. Basal sysadmin tasks på plads please.. Og så er det godt at kigge på sikkerheden generelt bagefter.

  • 9
  • 1
#3 Michael Cederberg

Og iøvrigt skulle de sku nok starte med at have styr på deres backup og recovery strategi - så havde de altid kunnet løse problemet - uanset hvilket sikkerhedshul de kom ind via.. Basal sysadmin tasks på plads please.. Og så er det godt at kigge på sikkerheden generelt bagefter.

Selvfølgelig. Men det hele bliver lidt sværere hvis der sidder PLC'er og alt muligt andet mystisk hardware rundt omkring på pipelinen. Eller hvis dem der angriber ikke har til formål at hive penge ud men i stedet blot ønsker at lave ravage (som fx. NotPetya angrebet mod Ukraine). Hvis man laver angreb der ødelægger hardware så kan det tage lang tid at komme i luften igen, uanset backup ...

Der er ingen silver bullets når det handler sikkerhed. Men defense in depth er en god start. Det vidste folk der byggede borge i gamle dage hvor man havde multiple ringmure. Det ved generaler i forsvaret. Og det burde alle der har med sikkerhed i virksomheder vide.

  • 2
  • 0
#4 Klavs Klavsen

Hvis man laver angreb der ødelægger hardware så kan det tage lang tid at komme i luften igen, uanset backup ...

Bestemt - men INGEN af de angreb vi hører om er andet end noget en simpel backup og recovery strategi ikke ville have reddet dem fra..

Det er tydeligvis mindre sandsynligt at indbrudstyvene er nogen der kan finde ud af at ødelægge ting i en sådan grad, så backup+recovery ikke er nok.. Så jeg ville nok lige sikre mig imod de angreb der er 99% sandsynlighed for først - og så bagefter kigge yderligere på sikkerheden generelt - således at man kan stoppe de 1% - der har evnerne og lysten til at smadre hardware.. (og airgap'e ting der faktisk skal sikres bedre og ikke bør have internet adgang osv.).

De 1% - tænker jeg - vil oftest være mere fokuseret på at stjæle intern information - de kan bruge til at blive rige på aktiemarkedet, eller sælge til konkurrenterne - så de vil oftest slet ikke opdage at de har besøg af dem :)

  • 4
  • 0
#5 Niels C Nielsen

Hvis strategi og procedurer er rigtigt opbygget og overholdt (det ved man kun når de er afprøvet), så kommer man nok igennem en skarp situation alligevel, omend med et betydeligt ressourceforbrug og et vist - forhåbentlig begrænset og acceptabelt - data- og produktionstab.

Men enterprise-wide bare metal recovery er oftest en black swan begivenhed som simple backup- og recovery-strategier ikke dækker, og som af økonomiske og tidsmæssige grunde vanskeligt kan øves.

  • 0
  • 0
#6 Michael Cederberg

Men enterprise-wide bare metal recovery er oftest en black swan begivenhed som simple backup- og recovery-strategier ikke dækker, og som af økonomiske og tidsmæssige grunde vanskeligt kan øves.

Nu er der indikationer af at nogle af disse hackere er ganske tætte på den russiske regering. Hvis nu den russiske regering valgte at bruge de samme midler i en krisesituation. Ikke til at tjene bitcoins, men i stedet for til at ødelægge.

Sådan en pipeline går i stykker hvis pumperne og ventilerne ikke står rigtigt. Med går i stykker mener jeg: rørene går i stykker og olie løber ud. Almindelige PC'er kan ødelægges permanent hvis man skriver løs i flash-rammen. Pludseligt hjælper din fine process til bare metal recovery ikke engang fordi dit metal ikke virker. Eller måske sidder virus i Intels Management Engine som du ikke kan se og ikke kan udskifte.

Vi så med NotPetya at ransomware metoder nemt kan blive destruktive. Russerne valgte dengang ikke at gå videre. Men jeg er ganske sikker på at de har en kasse med dirty tricks klar til at rulle ud. Det samme har alle andre der er store nok. Den vestlige verden vil blive ramt hårdest fordi vi er mest afhængig af IT.

  • 3
  • 0
#7 Thomas Larsen

Hvad der er kritisk infrastruktur afhænger øjensynlig også af hvem man spørger.

I Colonial's tilfælde, som jeg forstår det, havde hackerne på intet tidspunkt adgang til selve produktionssystemet.

Det var angiveligt Colonial selv der lukkede for pipeline fordi systemet der stod for registrering og afregning var blevet krypteret, og de derfor ikke kunne være sikre på hvilke af deres kunder der fik hvilke mængder leveret.

De kunne muligvis nok ikke være helt sikre på at selve pipelinesystemerne ikke også var under angreb, men den primære grund til forsyningsstoppet var, som jeg har forstået det, at de ikke ønskede at stole på at kunderne selv kunne og ville måle det, og afregne ærligt efterfølgende.

  • 7
  • 0
Log ind eller Opret konto for at kommentere