הפריצה למערך הדלק בארה"ב: לחשבון לא פעיל ולא מאובטח
לפי חברת מודיעין האיומים מנדיאנט - זרוע התגובה של פייראיי - קבוצת הכופרה ניצלה סיסמה שנפרצה לחשבון ברשת וירטואלית פרטית (VPN) ב-29 באפריל, כדי להיכנס לרשת של ענקית האנרגיה
כנופיית הכופרה דארקסייד (DarkSide), שהשביתה את קולוניאל פייפליין (Colonial Pipeline), מפעילת מערכת צינורות הדלק הגדולה בארה"ב, עשתה זאת בפריצה לחשבון לא פעיל של החברה, שלא עשה שימוש באימות רב-גורמי, MFA, כך על פי חברת מודיעין האיומים מנדיאנט (Mandiant) מבית פייראיי (FireEye).
קבוצת ההאקרים שחדרה לרשת של קולוניאל, גנבה כמעט 100 ג'יגה-בייט של נתונים. לאחר תפיסת הנתונים, ההאקרים נעלו את הנתונים בכמה מחשבים ושרתים, דרשו כופר והתריעו כי אם דמי הכופר לא ישולמו, הם ידליפו את הנתונים הגנובים לאינטרנט.
צ'ארלס קרמייקל, סגן נשיא מנדיאנט. צילום: ניב קנטור
לדברי צ'ארלס קרמייקל, סגן נשיא בכיר ומנהל טכנולוגי ראשי ב-מנדיאנט, זרוע התגובה של פייראיי, קבוצת הכופרה ניצלה סיסמה שנפרצה לחשבון ברשת וירטואלית פרטית (VPN) ב-29 באפריל, כדי להיכנס לרשת ענקית האנרגיה. חשבון ה-VPN, אמר, כבר לא היה בשימוש בזמן ההתקפה, אך עדיין סיפק להאקרים גישה לרשת של קולוניאל.
בשל הפריצה, קולוניאל נאלצה להשבית את צינורות שינוע הדלק שלה למשך חמישה ימים, וכתוצאה מכך ביותר מ-10,000 תחנות דלק ברחבי דרום-מזרח ארצות הברית חסר דלק. החברה שהותקפה מתפעלת צנרת באורך של כ-9,000 ק"מ, והיא משנעת יותר מ-370 מיליון ליטרים ביום, נתון המשקף כ-45% מתצרוכת הדלק בחוף המזרחי של ארה"ב. הצינורות מובילים דלק מבתי הזיקוק שבחוף המזרחי, לאזור העיר ניו יורק וסביבתה. היא מספקת דלקים לסוגיהם: בנזין, סולר, דלק סילוני ונפט.
לא ידוע כיצד ההאקרים השיגו את שם המשתמש הנכון לחשבון
הסיסמה לחשבון שנפרץ התגלתה מאז בתוך מערך של סיסמאות שהודלפו לדארקנט, אמר קרמייקל. הוא הסביר כי המשמעות היא שעובד קולוניאל עלול היה להשתמש באותה סיסמה בחשבון אחר, שנפרץ בעבר.
כיוון שהחשבון שנפרץ לא השתמש באימות רב-שלבי, כל שההאקרים של דרקסייד היו זקוקים לו היו רק שם משתמש וסיסמה. הוא ציין כי לא ידוע כיצד ההאקרים השיגו את שם המשתמש הנכון לחשבון, או אם הצליחו לקבוע זאת מחדש בעצמם. החשבון שנפרץ – הושבת מאז, אמר קרמייקל.
"ערכנו חיפוש די נרחב בסביבה, כדי לנסות לקבוע כיצד הם באמת קיבלו את האישורים הללו", אמר קרמייקל. "לא ראינו כל עדות לפישינג שנערך לעובד שהם השתמשו בפרטיו. גם לא ראינו כל עדות אחרת לפעילות התוקפים לפני 29 באפריל".
קרמייקל צפוי להעיד השבוע על חקירת מתקפת הסייבר בפני אחת מוועדות בית הנבחרים האמריקני. אחרים שיעידו בנושא, יישאלו בנושאים שסביב ההחלטה, השנויה במחלוקת, של קולוניאל לשלם לדארקסייד כופר של 4.4 מיליון דולרים – בביטקוין, לשם קבלת כלי פענוח.
כמה ימים לאחר הפריצה, ההאקרים החליטו להיות מנומסים, והתנצלו על שתקפו את קולוניאל בכופרה בסייבר. קבוצת ההאקרים שמאחורי הכופרה התנצלה על "ההשלכות החברתיות" של המתקפה, וטענה כי מטרתה היא להרוויח כסף, ולא לגרום לבעיות חברתיות.
תגובות
(0)