Colonial Pipeline weet niet hoe vpn-wachtwoord gebruikt bij aanval werd gestolen
De Colonial Pipeline Company weet niet hoe het vpn-wachtwoord waardoor criminelen toegang tot het netwerk kregen en ransomware konden uitrollen is gestolen. Dat liet ceo Joseph Blount tijdens een hoorzitting voor een commissie van de Amerikaanse senaat weten. Vorige week werd al bekend dat de aanvallers via een gelekt vpn-wachtwoord waren binnengekomen.
"Hoewel het onderzoek nog gaande is, denken we dat de aanvaller misbruik heeft gemaakt van een legacy vpn-profiel dat niet meer in gebruik had moeten zijn. We zijn nog steeds aan het onderzoeken hoe de aanvallers toegang tot de benodigde inloggegevens hebben gekregen om de aanval uit te voeren", aldus Blount. Eerder stelde securitybedrijf Mandiant, dat bij het onderzoek is betrokken, dat het vpn-wachtwoord in een verzameling van gelekte wachtwoorden op internet was aangetroffen.
De Colonial Pipeline-ceo voegde toe dat voor de legacy vpn alleen een wachtwoord was vereist. Er werd geen multifactorauthenticatie gebruikt. "Ik wil duidelijk maken dat het een complex wachtwoord was. Het was niet een colonial123-achtig wachtwoord", merkte Blount op. De ceo bevestigde een vraag van een senator dat het belangrijk is om van multifactorauthenticatie gebruik te maken.
Het herstellen van alle systemen zal nog maanden in beslag nemen en het bedrijf tientallen miljoenen dollars kosten. Eerder betaalde Colonial Pipeline de aanvallers 75 bitcoin, wat op dat moment 4,4 miljoen dollar was. De FBI heeft daarvan inmiddels 63,7 bitcoin in beslag genomen. Op welke manier de opsporingsdienst dit heeft gedaan is nog altijd onbekend.
Het zit nog in de pipeline.
Misschien komt het er nog uit.
Geïnfecteerde end user... Of insider job... of bullshit verhaal.... etc etc etc
Oftewel geen preshared secret naast het wachtwoord en geen password expiration policy... De standaard kneuzen foutjes dus.... Lang leve de "security experts" die een super goedkope oplossing uitrollen onder druk van het management !!!!!
En zo blijven we dus bezig in de it security met allerlei eenvoudig te voorkomen security rampen want dat mag je dit wel noemen. Je bent verantwoordelijk voor de halve energie bevoorrading van Amerika en dan flik je zoiets....
Maar gelukkig hebben wij dat soort problemen ook in Nederland als we kijken naar de recente publicaties over de waterleidingbedrijven. IT Security is niet voor debieltjes.... Tijd dat we eens een echte security standaard gaan inrichten zodat voor bepaalde zaken alleen nog gecertificeerde diensten mogen worden gebruikt. En dan bedoel ik niet iso27001 en soortgelijke onzin standaarden. Na 30 jaar in de IT security blijkt elke dag maar weer. IT security is geen technisch probleem in de kern. Het is een zakelijk probleem omdat er geen harde kwaliteitseisen zijn die echt wat voorstellen.
En dat komt doordat de financiële auditors die in het verleden bang waren hun audit omzet kwijt te raken voor een deel aan technische security assurance en dus een NEP SECURITY standaard hebben bedacht waar de echte technische IT security specialisten nu de wrange vruchten van plukken!!!
Dit gecombineerd met managers die niet gehinderd door enige moraal de meest achterlijke risico's accepteren in om maar hun targets te halen... Overheid waar blijf je met wetgeving die echt wat voorstelt. Of kun je alleen maar belasting heffen?!?!?!??!?!?!?
Ook met een SIEM ga je dit niet oplossen.
Als dit "gewoon" een VPN user is, zullen er geen alarmbellen afgaan.
Daarnaast vertrouwt een SIEM op input van andere tooling die dus ook weer goed moet worden ingesteld.
Typisch een gevalletje JML wat niet goed in processen en procedures is ingebakken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
