Utpressingsvare

Rørledningen Colonial Pipeline ble angrepet via bortglemt konto

Passordet ble delt på den mørke weben.

Detaljer fra rørledningen Colonial Pipeline.
Detaljer fra rørledningen Colonial Pipeline. (Foto: Colonial Pipeline)

Passordet ble delt på den mørke weben.

Mange angrep med utpressingsvare skjer ved at noen lar seg lokke til å åpne et ondsinnet epostvedlegg, men det ser ikke ut til å være tilfellet når det gjelder angrepet Colonial Pipeline, selskapet som driver den største drivstoffrørledningen i USA. 

I et intervju med Bloomberg forteller Charles Carmakal, en toppleder i IT-sikkerhetsselskapet Mandiant, som eies av Fireeye, at angrepet skjedde via en VPN-konto som ikke lenger var i bruk, men fortsatt var aktiv. Angriperne skal ha fått tilgang til passordet til denne kontoen og dermed også det indre nettverket til selskapet. 

Det skal ha vært Mandiant som har hjulpet Colonial Pipeline etter at angrepet ble oppdaget. Han har fått tillatelse av kunden til å uttale seg om hendelsen.

Kompromittert passord

Passordet skal ha vært inkludert i en samling som har blitt distribuert på «the dark web». Det er ukjent hvordan passordet har blitt kompromittert, men phishing eller angrep hvor det benyttes SQL-injisering mot databaser hvor passord lagres i klartekst, er potensielle muligheter.

Ifølge Carmakal har det ikke blitt funnet bevis for at passordet har blitt stjålet gjennom phishing.

Den aktuelle VPN-kontoen skal ikke ha vært beskyttet med tofaktor autentisering. Dermed var det bare nødvendig med et brukernavn og passord, samt kjennskap til VPN-tjenesten, for å få tilgang.

Den kompromitterte VPN-kontoen skal i ettertid ha blitt stengt.

Stengte bensinpumper i Oak Hill, Fairfax County, Virginia på grunn av panisk hamstring etter at Colonial Pipeline stengte rørledningen som følge av dataangrep i begynnelsen av mai 2021.

Inntrengningen ble ikke oppdaget

Under etterforskningen etter angrepet skal Mandiant ha sporet bevegelsene som angriperne hadde gjort. Selv om de har bevegd seg noe rundt, skal det ikke være noen indikasjoner på at de har trengt seg inn i de mer kritiske teknologisystemene.

Innbruddet skjedde den 29. april, men ble ikke oppdaget før den 7. mai da en ansatt i Colonial Pipeline som like før klokken 5 om morgenen så et varsel hvor selskapet ble bedt om å betale ut løsepenger i en kryptovaluta. Klokken 06.10 samme morgen hadde selskapet for sikkerhets skyld stengt hele rørledningen. Den ble ikke åpnet igjen før den 12. mai. Da var Colonial og Mandiant sikre på at de hadde kontroll over angrepet. 

Den 8850 kilometer lange rørledningen, som har vært i drift i nærmere 57 år, frakter daglig rundt 2,5 millioner fat med drivstoff mellom Texas og New York. 

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen