Судостроитель Austal был взломан с украденными кредитами, проданными на темной паутине
Обеспечивает полную посмертную атаку конца 2018 года.
Austal, зарегистрированный в ASX судостроитель и оборонный подрядчик, был скомпрометирован в конце 2018 года злоумышленником, который использовал учетные данные для входа в систему, приобретенные на темном веб-форуме, но затем не смог извлечь значительную пользу или получить выкуп, чтобы вернуть его.
Генеральный директор Дэвид Синглтон предоставил полный посмертный отчет о нарушении в середине октября 2018 года на прошлой неделе - который, по его словам, включал в себя гриль от высокопоставленных правительственных министров - и показал, что киберзащита, введенная в действие впоследствии, спасла компанию от фишинговых атак совсем недавно две недели.
Синглтон сказал, что компания была взломана в октябре 2018 года с использованием украденных учетных данных, проданных в темной паутине, месте, которое он охарактеризовал как своего рода «параллельную вселенную… где скрываются преступники и где распространена преступность».
«Я до сих пор не знаю, что такое« темная паутина », - сказал Синглтон на недавнем отраслевом мероприятии.
«[Но] в этой параллельной вселенной вы можете купить адреса компаний, и вы можете купить пароли, соответствующие этим адресам, и вы можете использовать эти пароли для входа в чью-либо систему. И это то, что случилось с нами в Austal.
«Кто-то купил пароли в интернете».
Похоже, что украденные учетные данные также были относительно слабыми: «Password123» или «Austal123».
Злоумышленник использовал украденные учетные данные, чтобы получить доступ к системе Austal в воскресенье днем, а затем смог передвигаться в боковом направлении «довольно легко».
«Преступник ходил по« виртуальным комнатам »в нашем« доме »и собирал вещи по ходу [они], - сказал Синглтон.
Хотя злоумышленник действительно собирал данные из нескольких систем, они необъяснимым образом передали самый ценный материал.
«Во многих отношениях нам повезло, что на стене в нашей главной гостиной был очень дорогой Рембрандт - [но] то, что он на самом деле закончил, это кража телевизора, который легко заменяется и имеет меньшую ценность». Синглтон сказал.
«Так что нам повезло во многих отношениях, но повезло только благодаря удаче».
Austal также пережил второй случай «удачи», когда злоумышленник вызвал тревогу, когда накопил данные для эксфильтрации.
«То, как мы узнали, что происходило, было ничем иным, как [они] брали информацию из комнат внутри« дома », загружали их в определенный накопитель памяти, из которого они затем извлекали ... наружу, и [они] перегружали накопитель, - сказал Синглтон.
«В результате перегрузки накопителя памяти он включил будильник поздно вечером в воскресенье, когда всех не было в офисе.
«Это был первый триггер, который у нас был, что что-то не так и происходит».
Реагирование на инциденты и требование выкупа
Когда Синглтон прибыл в офис рано утром в понедельник, команда по информационным системам и технологиям (IS & T) уже реагировала на инциденты.
«Первое, что мы сделали, это заблокировали систему», - сказал он.
«ИТ-отдел смог очень быстро двигаться в этом направлении. Они закрыли все внешние порты и убедились, что больше информации не может входить или выходить ».
Однако это быстро привело к тому, что тысячи сотрудников компании и, в конечном итоге, поставщики и клиенты, что-то не так.
«Внезапно сотни ваших сотрудников знают, что что-то не так. Они не могут получить электронное письмо, они не могут получить электронное письмо обратно, они не могут получить доступ к чему-либо, и есть требование понять, что происходит, и срочность ситуации возрастает момент за моментом », - сказал Синглтон.
«Через несколько часов вы начинаете звонить поставщикам, и другие люди звонят, [спрашивая]:« Что происходит, мы не получаем от вас никакой информации, почему мы не можем отправить вам некоторые данные? ».
«Так что все начинает развиваться очень быстро, и вы должны быть к этому готовы».
Вначале Austal позвонил в свою страховую компанию, которая - «чтобы показать вам срочность этого - немедленно отправила кого-то из Великобритании», чтобы помочь убраться.
«В течение четырех часов после того, как мы позвонили в нашу страховую компанию, у них был кто-то на рейсе в Лондоне, который прилетел в Перт, чтобы помочь нам с действиями по восстановлению, и причина этого в том, что они знали лучше, чем кто-либо, молнию скорость происходящего настолько велика, что вы должны реагировать на него быстро, чтобы минимизировать ущерб », - сказал Синглтон.
Компания также призвала Австралийский центр кибербезопасности (ACSC), который помог «запереть двери, убрать« комнаты »и разобраться с последствиями произошедшего».
Синглтон сказал, что мотив для атаки быстро стал очевидным.
«Хакер потребовал выкуп», - сказал он.
«Это была просто преступность. Это был человек, который просто хотел вымогать день
ги у компании, чтобы вернуть данные, и [они] сделали это, чтобы [отправить] электронное письмо 50 или 60 сотрудникам организации, сказав: «Вас взломали. , Это те биткойны, которые мне нужны, чтобы вернуть украденные данные ».
«К счастью для нас, как я уже говорил ранее, мы не потеряли наш Рембрандт, мы потеряли наш телевизор, и у нас совсем не было ума заниматься вымогательством».
Весна чистая
С помощью ACSC Austal приступил к «чистке пружин» своих систем.
«В тот момент мы понятия не имели, что происходит внутри наших систем», - сказал Синглтон.
«Мы не знали, поставил ли кто-нибудь там ошибку. Мы не знали, были ли наши данные уничтожены и быстро уничтожены. Мы не знали, оставил ли кто-нибудь какие-нибудь черные ходы, чтобы они могли прийти позже ».
Системы и данные Austal были в основном облачными, и компания была уверена, что у них есть резервные копии.
«Примерно за год до того, как мы переместили наши данные и наши системы в облако, это очень помогло, потому что вселило в нас уверенность в том, что у нас есть резервные копии файлов, которые нам нужны, благодаря качеству предоставляемых услуг. мы могли бы добраться оттуда », - сказал Синглтон.
«Таким образом, мы никогда не были в ситуации, когда мы беспокоились о потере наших основных данных, и это было для меня большим облегчением, потому что идея о том, что вы можете потерять огромные массивы данных, потому что они были съедены какой-то злокачественной ошибкой, была бы довольно страшная идея.
«Для меня было уроком, что переход к облаку для нас был действительно важен для нас, потому что мы могли быстро стабилизировать ситуацию и двигаться дальше».
Борьба с паролем, боковое движение
Austal приложил значительные усилия для повышения безопасности паролей после взлома.
«Причиной проблемы были пароли, поэтому сразу после события - имейте в виду, что теперь все наши сотрудники знали, что произошло, и они знали, что это произошло в результате паролей - мы принудительно изменили два пароля», - сказал Синглтон.
«Каждый должен был изменить свои пароли дважды за 24 часа. И затем в конце этого мы запустили [код], который позволил нам просматривать пароли каждого в компании.
«Было 40 версий этих двух паролей - Password123 и Austal123 - которые научили меня чему-то действительно важному во всем этом ... что слабым звеном в любой системе часто могут быть ваши люди.
«Даже после киберпрерывания люди использовали Password123, а Austal123 в качестве пароля, те самые пароли, которые в первую очередь проникли в систему киберпреступниками».
Синглтон сказал, что с тех пор Austal внедрил разработанный в Австралии программный инструмент, который заставляет пользователей устанавливать более сложные пароли и часто их менять.
Он также включил многофакторную аутентификацию, поэтому он больше не предоставлял доступ к системам, использующим только простое сочетание имени пользователя и пароля; и ужесточил права доступа к ряду внутренних систем.
«Это означает, что если кто-то снова войдет через парадную дверь, его способность перемещаться по системе и собирать больше данных теперь будет намного более ограниченной, чем это было бы раньше», - сказал Синглтон.
Затем Austal привлек внешнего пентестера для проверки его защиты. Пентестер не мог получить доступ извне, и - когда их пропустил Австаль - он также не смог выполнить боковое движение.
«Следующее, что они сделали, - отправили человека на площадку», - сказал Синглтон.
«Он был экспертом в этом - и сумел получить доступ к сайту.
«У него было несколько USB-накопителей, и он обошел нашу организацию и попросил людей вставить USB-накопитель в свой компьютер, чтобы проверить данные, которые были на нем. На этом USB-накопителе была какая-то вредоносная программа, которую он специально надел, что показывало, что он смог это сделать.
«Затем он оставил USB-накопитель в нашем ИТ-отделе, и кто-то в ИТ-отделе взял USB-накопитель и вставил его в свой компьютер, а также перенес вредоносное ПО в нашу систему.
«Опять же, это научило нас важности не только электронной безопасности, но и физической безопасности в нашей среде».
Системы аутентификации и внутренняя готовность компании также прошли реальную проверку в течение последних двух недель, когда фишинговая электронная почта от предполагаемого инженера проекта из Литвы прибыла в несколько почтовых ящиков.
«То, что произошло, было ... 40 человек в нашей организации в первый час нажали« предложение о загрузке »[кнопка в электронном письме], - сказал Синглтон.
«Когда вы переходите к этому предложению о загрузке, оно просит вас указать свой адрес электронной почты и пароль.
«Хотите верьте, хотите нет, но после всего, что с нами произошло, пять человек указали свой адрес электронной почты и пароль, которые дали бы им доступ к системе. Что нас спасло, так это многофакторная аутентификация ».
Жертва-обвинять
Синглтон сказал, что тогдашний глава ACSC, Аластер МакГиббон, посоветовал ему возложить на себя ответственность за инцидент.
MacGibbon ранее выражал аналогичные чувства в отношении других хаков.
«В начале всего этого глава ACSC сказал мне:« Вам нужно помнить весь этот процесс, через который вы собираетесь пройти, что вы жертва, потому что то, что произойдет, будет вам стыдно, как жертва, и люди начнут указывать на вас как на проблему », - сказал он.
«Он описал это мне как некоторые из тех действительно печальных историй, которые мы слышали в прошлом о судьях, которые распределили некоторый элемент вины людям, которые стали жертвой преступления:« Почему вы отсутствовали в два часа? утром в этом конкретном районе города? Вы просили об этом ».
Это будет звучать правдоподобно.
«Австралийское правительство вызвало меня и объяснило ... некоторым очень высокопоставленным министрам ... о том, как нам удалось взломать, когда у нас есть информация об обороне на нашем сайте», - сказал Синглтон.
«Вы начинаете создавать среду, в которой люди забывают, что вы стали жертвой, и начинаете думать, что вы каким-то образом были преступником».
Синглтон сказал, что решил стать публичным с целью помочь другим крупным компаниям обеспечить простую защиту.
«Если достаточное количество людей расскажут о боли этого, сложности этого, стоимости очистки после этого, разрушении вашего бизнеса, то, возможно, больше людей сделают некоторые из тех простых вещей, о которых я говорил, которые действительно могут сделать принципиальная разница », - сказал он.