Кибератаката срещу Colonial Pipeline се случила месеци преди момента на криптиране
Александър Свердлов, експерт по IT сигурност, основател на Аtlant Security и бивш консултант по киберсигурност на Корпорацията за ядрена енергия на ОАЕ, "Бизнес старт", 14.05.2021
11:48 | 14 май 2021 Обновен: 12:05 | 14 май 2021
Автор:
Димитър Баларев
Кибератаката срещу Colonial Pipeline се случила месеци преди момента на криптиране. Хакерите са били толкова дълго време в системата на оператора на тръбопровода, че най-вероятно са познавали мрежата му по-добре от собствените IT специалисти на компанията. Това заяви Александър Свердлов, експерт по IT сигурност, основател на Аtlant Security и бивш консултант по киберсигурност на Корпорацията за ядрена енергия на ОАЕ, в ефира на предаването "Бизнес старт" с водещ Христо Николов.
"Рансъмуерът е последният етап на кибератака. Хакерите получават достъп до цялата компютърна мрежа на оператора, като първата им цел да видят какви данни могат да извлекат. В случая на Colonial те най-вероятно са били в мрежата поне 6 месеца, в които са източили и са изцедили, колкото могат от тази информация, която впоследствие са препродали, за да се презастраховат".
"За да си заличат следите, хакерите накрая криптират всичко и ако не им бъде платено, информацията ще бъде изтрита", допълни Александър Свердлов.
От разговора стана ясно, че обикновено при рансъмуер атаките, хакерите получават достъп до един компютър в мрежата, причиняват проблем, който предизвиква намеса на IT специалиста на компанията и впоследствие те крадат неговата парола.
"Може да отнеме 24 часа, но обикновено им отнема 15 минути да си осигурят пълен достъп до мрежата чрез "атачмънти" с вируси, които не се хващат от антивирусните системи - от един компютър следва пълно компрометиране на цялата система".
Основателят на Аtlant Security сподели интересен факт - Colonial е имала само двама, трима инженери по киберсигурността и дори не е имала мениджър в този сектор.
"Не е задължително атаката срещу Colonial да е била таргетирана - те са изпитали естественото нещо, което се случва с компания, която не се грижи за своята сигурност. Това е като банка без сейф".
По думите на бившия консултант по киберсигурност на Корпорацията за ядрена енергия на ОАЕ, подобни хакерски групи като DarkSide много често са международни и от статистическа гледна точка повечето киберпрестъпления започват в САЩ.
"Ако атаката произтича от Изток, нищо не пречи на хакер от Китай да се свърже с VPN към САЩ, после от САЩ към Русия с операционна система на руски език и оттам да се върже обратно към САЩ".
Според госта рано или късно кибернападателите на Colonial ще бъдат разобличени от американските власти.
В разговора беше засегната и темата за съмнителните линкове във Facebook, като събеседникът увери, че самото кликване не представлява опасност.
"Самият клик в повечето случаи не води до инфекция, ако няма някакъв "експлойт". Но ако кликът след себе си води до "влезни във Facebook" , обикновено това показва, че някой се опитва да открадне нашите данни".
За да си осигурят максимална защита потребителите на социалните мрежи, Александър Свердлов препоръчва те да използват двуфакторна идентификация, но не със SMS.
Още по темата за Colonial Pipeline, съмнителните линкове във Facebook и други социални мрежи, фишинг атаките и делата срещу изтичането на данни след пробива в НАП, може да видите във видеото.