Кибератака на оператора крупнейшего трубопровода в США стала возможна из-за утечки пароля одного из сотрудников, сообщил эксперт, устранявший последствия взлома.
Об этом рассказал Bloomberg старший вице-президент компании Mandiant Чарльз Кармакал. Именно он отвечал за устранение атаки. По его мнению, один из сотрудников использовал один и тот же пароль как для VPN, так и для других сервисов. Признаков фишинга при расследовании найдено не было.
Кармакал предположил, что ко времени атаки аккаунт уже не использовался сотрудниками, однако он все еще мог открыть доступ к сетям. Пароль к этой учетной записи, считает вице-президент, нашли в даркнете. Не исключается, что данная комбинация подходила и к другим аккаунтам компании, которые ранее могли быть взломаны.
Данные были обнаружены среди информации, попавшей в даркнет. Отмечается, что деактивированная после атаки учетная запись не использовала многофакторную аутентификацию.
Компания Colonial Pipeline, крупнейший оператор трубопроводов в США, 7 мая подверглась кибератаке программы-вымогателя DarkSide. Из-за атаки компания отключила некоторые системы, "чтобы сдержать угрозу, которая на время остановила все операции, связанные с трубопроводом, и затронула некоторые информационные системы".
Взлом парализовал на несколько дней работу системы Colonial Pipeline. Как писало агентство Bloomberg, компания заплатила хакерам выкуп в размере около $5 млн, чтобы вернуть доступ к своим данным.
Спойлер: она начинается с подписки на наш канал