NUEVA YORK (BLOOMBERG) – El hackeo que derribó el oleoducto más grande de Estados Unidos y provocó una escasez en la costa este fue el resultado de una única contraseña comprometida, según un consultor de ciberseguridad que respondió al ataque.
Los piratas informáticos lograron ingresar a las redes de Colonial Pipeline el 29 de abril a través de una cuenta de red privada virtual (VPN), que permitió a los empleados acceder de forma remota a la red informática de la compañía, dijo Charles Carmakal, vicepresidente senior de la compañía de seguridad. Cibernética Mandiant de FireEye, en una entrevista.
La cuenta ya no estaba en uso en el momento del ataque, pero aún podría usarse para acceder a la red de Colonial, dijo.
La contraseña de la cuenta fue descubierta dentro de un lote de contraseñas filtradas en la Dark Web. Eso significa que un funcionario colonial puede haber usado la misma contraseña en otra cuenta que fue pirateada previamente, dijo. Sin embargo, Carmakal dijo que no estaba seguro de si así fue como los piratas informáticos obtuvieron la contraseña, y dijo que los investigadores tal vez nunca sepan con certeza cómo se obtuvo la credencial.
La cuenta VPN, que desde entonces ha sido deshabilitada, no usó autenticación multifactor, una herramienta básica de ciberseguridad, permitiendo a los piratas informáticos violar la red de Colonial usando solo un nombre de usuario y contraseña comprometidos. No se sabe cómo los piratas informáticos obtuvieron el nombre de usuario correcto o si pudieron determinarlo ellos mismos.
“Hicimos un estudio bastante exhaustivo del medio ambiente para tratar de determinar cómo obtuvieron realmente estas credenciales”, dijo Carmakal. “No vemos ninguna evidencia de phishing para el atacante cuyas credenciales fueron utilizadas. No vimos ninguna otra evidencia de actividad del atacante antes del 29 de abril”.
boleto de rescate
Poco más de una semana después, el 7 de mayo, un empleado en la sala de control del Colonial vio una nota de rescate exigiendo criptomonedas aparecer en una computadora justo antes de las 5 am.
El empleado notificó a un supervisor de operaciones que inmediatamente comenzó a comenzar el proceso de cierre de la tubería, dijo el director ejecutivo de Colonial, Joseph Blount, en una entrevista. A las 6:10 am, se cerró todo el oleoducto, dijo.
Fue la primera vez que Colonial cerró todo su sistema de tuberías en 57 años de historia, dijo.
“No teníamos otra opción en ese momento”, dijo. “Fue absolutamente lo correcto. En ese momento, no teníamos idea de quién nos estaba atacando o cuáles eran sus motivos”.
Colonial Pipeline ha puesto a Carmakal y Blount disponibles para una entrevista antes del testimonio de Blount la próxima semana ante los comités del Congreso, en la que se espera que brinde más detalles sobre el alcance del acuerdo y aborde la decisión de la compañía de rescatar a los atacantes.
No pasó mucho tiempo para que se difundiera la noticia del cierre de Colonial. El sistema de la compañía transporta alrededor de 2,5 millones de barriles de combustible al día desde la costa del Golfo a la costa este. La interrupción ha provocado largas filas en las estaciones de servicio, muchas de las cuales se han agotado, y precios más altos del combustible. Colonial comenzó a reanudar el servicio el 12 de mayo.
Poco después del ataque, Colonial inició un examen minucioso del oleoducto, rastreando 47.000 km en tierra y en el aire para buscar daños visibles. La empresa finalmente determinó que el oleoducto no sufrió daños.
Escanear red
Mientras tanto, Mandiant estaba revisando la red para comprender hasta qué punto los piratas informáticos habían investigado mediante la instalación de nuevas herramientas de detección que alertarían a Colonial sobre cualquier ataque posterior, que no son infrecuentes después de una violación sustancial, dijo Carmakal. Los investigadores no encontraron evidencia de que el mismo grupo de piratas informáticos intentara recuperar el acceso.
“Lo último que queríamos era que un actor de amenazas tuviera acceso activo a una red donde existía algún riesgo posible para una tubería. Ese era el mayor enfoque hasta que se reactivó”, dijo Carmakal.
Mandiant también rastreó los movimientos de los piratas informáticos en la red para determinar qué tan cerca estuvieron de comprometer los sistemas adyacentes a la red de tecnología operativa de Colonial, el sistema informático que controla el flujo real de gasolina.
Aunque los piratas informáticos se movieron dentro de la red de tecnología de la información de la compañía, no había indicios de que pudieran violar los sistemas de tecnología operativa más críticos, dijo.
Fue solo después de que Mandiant y Colonial pudieron determinar de manera concluyente que el ataque había sido contenido que consideraron reabrir su oleoducto, dijo Blount.
Colonial pagó a los piratas informáticos, que estaban afiliados a un grupo de ciberdelincuencia vinculado a Rusia conocido como DarkSide, un rescate de $ 5,83 millones (S $ 7,7 millones) poco después del ataque. Los piratas informáticos también robaron casi 100 gigabytes de datos del Colonial Pipeline y amenazaron con filtrarlos si no se pagaba el rescate, informó Bloomberg News el mes pasado.
Colonial contrató al Sr. Rob Lee, fundador y CEO de Dragos, una compañía de ciberseguridad que se enfoca en sistemas de control industrial, y al Sr. John Strand, propietario y analista de seguridad de Black Hills Information Security, para asesorarle sobre sus ciberdefensas y enfocarse en evitar futuros ataques.
Después del ataque a su empresa, Blount dijo que le gustaría que el gobierno de Estados Unidos persiguiera a los piratas informáticos que han encontrado un refugio seguro en Rusia. “En última instancia, el gobierno debe centrarse en los propios actores. Como empresa privada, no tenemos la capacidad política para cerrar países de acogida que tienen estos malos actores ”.
