Podsumowanie incydentu w Colonial Pipeline

W piątek 7 maja br. władze Colonial Pipeline* poinformowały, że firma padła ofiarą ataku ransomware, co wymusiło decyzję o wstrzymaniu działalności i czasowym wyłączeniu systemów. Decyzja dotyczyła obszaru procesów operacyjnych związanych z transportem surowców rurociągami. Wyłączenie rurociągu spowodowało niedobory paliwa na południowym wschodzie USA, podkreślając kluczową rolę rurociągu w dystrybucji energii w tym kraju.

W pierwszych dniach po wykryciu i opublikowaniu informacji o ataku przypisywano go stronie rosyjskiej – było to nawet komentowane przez prezydenta USA Joe Bidena. Abstrahując od samej atrybucji warto zwrócić uwagę na pierwotną przyczynę wyłączenia dostaw.

Zacznijmy od początku

Pierwsze zidentyfikowane aktywności przestępców były odnotowane w logach systemowych 29 kwietnia. Tego dnia odbyło się zdalne logowanie z użyciem VPN do sieci korporacyjnej Colonial Pipeline. Pomimo tego, że użyte konto VPN nie było już wykorzystywane przez użytkownika, to cały czas pozostawało aktywne i umożliwiało dostęp do sieci korporacyjnej. Wszystko wskazuje na to, że to właśnie dostęp przez VPN stanowił dla przestępców przyczółek do dalszych działań. Dopiero (a może już?) po tygodniu od uzyskania inicjalnego dostępu (tj. 6 maja br.) przestępcy wykradli 100 GB danych, a następnie rozpoczęli szyfrowanie systemów informatycznych z wykorzystaniem ransomware.

Pierwotnie (tj. 7 maja) firma Colonial Pipeline ogłosiła, że nie zapłaci okupu. Jednocześnie w komunikacie potwierdziła, że w celu powstrzymania rozprzestrzeniania się zagrożenia, zdecydowała się na czasowe wyłączenie części systemów, a w konsekwencji na zatrzymanie części działalności operacyjnej. W kolejnych dniach zdecydowano jednak o zapłaceniu okupu w wysokości 75 BTC (ok. 4,4 mln USD). Co ciekawe większość okupu (64 BTC) w kolejnych tygodniach odzyskały amerykańskie organy ścigania. Informacja ta napawa optymizmem bo oznacza, że dostępne są już środki umożliwiające istotne zakłócenie w modelu działania cyberprzestępców.

Warto zauważyć, że podjęta przez Colonial Pipeline decyzja dotycząca powstrzymania rozprzestrzeniania się zagrożenia była zgodna z zasadami zarządzania incydentami bezpieczeństwa  i świadczy o profesjonalizmie zespołu zarządzającego tą sytuacją kryzysową.

Na uwagę zasługuje też związek przyczynowo skutkowy w tym ataku: działania ofensywne na infrastrukturze IT wpłynęły na ciągłość działalności operacyjnej pomimo tego, że (według aktualnych informacji) przestępcy nie uzyskali dostępu do systemów sterowania (OT) infrastrukturą przesyłową.

W jaki sposób przestępcy pozyskali dane logowania do VPN?

Firma Mandiant, która prowadziła analizę incydentu ujawniła, że wykorzystane w ataku hasło VPN znajdowało się w udostępnionym wcześniej w darknecie zbiorze haseł z wycieków. Może to wskazywać na wykorzystanie przez atakujących metody słownikowej lub też sytuację, w której użytkownik wielokrotnie wykorzystywał te same hasła w różnych systemach i serwisach, a z jednego z nich nastąpił wcześniej wyciek haseł. Na chwilę obecną obydwie hipotezy są weryfikowane.

Co było przyczyną ataku?

Mimo to, można już stwierdzić, że pierwotną przyczyną wystąpienia podatności wykorzystanej przez przestępców były błędy w podejściu do zarządzania bezpieczeństwem:

  • brak blokowania nieużywanego profilu VPN (profil użytkownika pozostał aktywny w systemie pomimo braku zasadności),
  • wbrew dobrym praktykom stosowano uwierzytelnienie jednoskładnikowe,
  • brak świadomości cyberzagrożeń przez pracowników objawiające się wielokrotnym stosowaniem tych samych haseł w różnych kontekstach,
  • brak bieżącego monitorowania dostępu do sieci.

Podsumowanie

Przypadek Colonial Pipeline pokazuje jak ważne jest wdrożenie podstawowych mechanizmów cyberbezpieczeństwa:

  • inwentaryzacja aktywów
  • segmentacja i separacja sieci
  • kopie zapasowe
  • monitorowanie zdarzeń
  • szkolenie pracowników

Najważniejsze na koniec – warto pamiętać o tym co bardzo pozytywnie wyróżnia zespół zarządzający obsługą tego incydentu w Colonial Pipeline – czyli zbudowaniu realnej zdolności do skutecznego wykorzystania planów działania na wypadek wystąpienia sytuacji kryzysowej poprzez utrzymanie, testowanie i stałą ich weryfikację.

Colonial Pipeline jest jednym z największych operatorów rurociągów w Stanach Zjednoczonych (8 850 km długości) i odpowiada za transport 45% paliw na Wschodnim Wybrzeżu (codziennie transportuje około 360 tysięcy metrów sześciennych paliw).

Rurociąg o długości 5500 mil, największy w USA, transportuje benzynę i inne produkty do 14 stanów i Waszyngtonu, w tym prawie połowę całego paliwa zużywanego na wschodnim wybrzeżu. Skutki ataku na Colonial Pipeline odczuło bezpośrednio około 12.000 stacji benzynowych, a ceny paliwa przebiły poziom 3 dolarów za galon i ich poziom były najwyższy od 2014 roku. Był to największy udany cyberatak na infrastrukturę paliwową w historii USA.

Dodaj komentarz

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *