Informace sdělil šéf kyberbezpečnostní firmy Mandiant. Hackerům se podařilo získat přístup přes účet VPN, u kterého chybělo dvoufázové zabezpečení. Heslo k účtu bylo stejné, jaké nalezli v balíku uniklých hesel na dark webu. Podezřelé aktivity v síti začaly prý už na konci dubna, hotovo měli hackeři zhruba za týden, a poté poslali zprávičku s žádostí o vykupné (ransom).
To může znamenat, že dotyčný zaměstnanec používal stejné heslo k pracovní VPN i k nějaké další službě, ze které poté hesla unikla na dark web. Není zřejmé, jak DarkSide přišel na uživatelské jméno, respektive spojení s konkrétním účtem, vyšetřovatelé nenarazili na žádný důkaz phishingu.
Jak to začalo?
Colonial Pipeline má na starosti asi polovinu veškerého transportu pohonných hmot na východním pobřeží USA. Dne 7. května brzy ráno si jeden zaměstnanec na počítači všiml žádosti o výkupné. Jeho nadřízený poté okamžitě začal proces odstavení potrubí, což se stalo vůbec poprvé v 57leté historii. V zemi došlo k výraznému ztížení zásobování pohonnými hmotami, lidé se snažili předzásobit tankováním do kanystrů ale i do igelitových tašek.
Colonial Pipeline se nejprve snažil obnovit systém ze záloh, ale poté výkupné ve výši 75 Bircoinů zaplatil. Hackerská skupina DarkSide později zveřejnila zprávu, že bude příště postupovat opatrněji, protože prý „neútočí na nemocnice, vládní organizace a neziskovky“. Poslední akce se jim tedy patrně vymkla z ruky. Je ale také možné, že tu byl ještě někdo jiný, kdo si služby DardSidu objednal.
Každopádně tato skupina již ohlásila své rozpuštění, s čímž může souviset i odvetný útok americkou administrativou, při které DarkSide ztratil přístup k několika svým webům.
Ztráty jsou dost velké na to, aby se útokem zabývala i komise, před kterou půjde svědčit CEO společnosti Joseph Blount i šéf Mandiantu (společnost, která útok poté analyzovala) Charles Carmakal. Jednání bude možné sledovat živě 9. června ve 12 hodin východního času.
zdroj: Engadget