信息來源：Cnbeta

據(jù)彭博社報(bào)道，據(jù)一位應(yīng)對(duì)此次攻擊的網(wǎng)絡(luò)安全顧問稱，導(dǎo)致美國最大燃油管道運(yùn)營商Colonial Pipeline關(guān)鍵燃油網(wǎng)絡(luò)癱瘓并導(dǎo)致整個(gè)東海岸燃料供應(yīng)短缺的黑客攻擊是由一個(gè)被泄露的密碼造成的。

網(wǎng)絡(luò)安全公司Mandiant（隸屬FireEye公司）高級(jí)副總裁Charles Carmakal在接受采訪時(shí)說，黑客于4月29日通過一個(gè)虛擬私人網(wǎng)絡(luò)賬戶進(jìn)入Colonial Pipeline公司的網(wǎng)絡(luò)，該賬戶允許員工遠(yuǎn)程訪問該公司的計(jì)算機(jī)網(wǎng)絡(luò)。他表示說，在攻擊發(fā)生時(shí)，該賬戶已不再使用，但仍可用于訪問Colonial Pipeline公司的網(wǎng)絡(luò)。

該賬戶的密碼后來在暗網(wǎng)的一批泄露的密碼中被發(fā)現(xiàn)。他表示，這意味著Colonial Pipeline公司的一名員工可能在之前被黑的另一個(gè)賬戶上使用了相同的密碼。然而，Carmakal說，他不確定黑客就是這樣獲得密碼的，而且他說調(diào)查人員可能永遠(yuǎn)無法確定該密碼是如何獲得的。

這個(gè)VPN賬戶后來被停用了，它沒有使用多因素認(rèn)證，這是一個(gè)基本的網(wǎng)絡(luò)安全工具，使黑客只用一個(gè)被泄露的用戶名和密碼就能攻破Colonial Pipeline公司的網(wǎng)絡(luò)。目前還不知道黑客是如何獲得正確的用戶名的，或者他們是否能夠自己確定它。

“我們對(duì)環(huán)境進(jìn)行了相當(dāng)詳盡的搜索，試圖確定他們實(shí)際上是如何得到這些憑證的，”Carmakal說。"我們沒有看到任何證據(jù)表明憑證被使用的員工有網(wǎng)絡(luò)釣魚行為。我們沒有看到4月29日之前攻擊者活動(dòng)的任何其他證據(jù)"。

贖金票據(jù)

一個(gè)多星期后，即5月7日，Colonial公司控制室的一名員工在凌晨5點(diǎn)前看到一張要求加密貨幣的勒索信息出現(xiàn)在電腦上。Colonial公司首席執(zhí)行官 Joseph Blount在接受采訪時(shí)說，這名員工通知了一名運(yùn)營主管，后者立即開始啟動(dòng)關(guān)閉管道的程序。Blount說，到早上6點(diǎn)10分，整個(gè)管道已經(jīng)被關(guān)閉。

Blount說，這是Colonial公司在其57年的歷史上第一次關(guān)閉其整個(gè)汽油管道系統(tǒng)?！拔覀儺?dāng)時(shí)別無選擇，”他說。“這絕對(duì)是正確的做法。當(dāng)時(shí)，我們不知道誰在攻擊我們，也不知道他們的動(dòng)機(jī)是什么?！?

在Blount下周在國會(huì)委員會(huì)作證之前，Colonial Pipeline公司讓Carmakal和Blount接受了采訪，預(yù)計(jì)他將在采訪中提供更多關(guān)于入侵范圍的細(xì)節(jié)，并談到該公司向攻擊者支付贖金的決定。

Colonial公司關(guān)閉的消息沒過多久就傳開了。該公司的系統(tǒng)每天將大約250萬桶燃料從墨西哥灣沿岸運(yùn)往東部沿海地區(qū)。停運(yùn)導(dǎo)致加油站排起了長(zhǎng)隊(duì)，許多加油站的油都用完了，燃料價(jià)格也上漲。Colonial 公司于5月12日開始恢復(fù)服務(wù)。

襲擊發(fā)生后不久，Colonial公司開始對(duì)管道進(jìn)行詳盡的檢查，在地面和空中追蹤29000英里，尋找明顯的損壞。該公司最終確定管道沒有損壞。

同時(shí)，Mandiant公司正在清掃網(wǎng)絡(luò)，以了解黑客入侵的范圍，同時(shí)安裝新的檢測(cè)工具，以提醒Colonial 任何后續(xù)的攻擊。Carmakal說，這在大規(guī)模入侵后并不罕見。調(diào)查人員沒有發(fā)現(xiàn)任何證據(jù)表明同一組黑客試圖重新獲得訪問權(quán)。

“我們最不希望的是，威脅者能夠主動(dòng)進(jìn)入一個(gè)對(duì)管道有任何可能風(fēng)險(xiǎn)的網(wǎng)絡(luò)。這是最大的焦點(diǎn)，直到它被重新打開，”Carmakal說。