Судостроительного гиганта взломали, купив учетные данные в даркнете

Руководство австралийского оборонного подрядчика Austal раскрыло обстоятельства инцидента, в ходе которого хакер проник в сеть компании, пишет портал ITnews.

Информационная инфраструктура Austal, крупной судостроительной компании в Австралии, была скомпрометирована в октябре 2018 г. Взломав сеть, хакер похитил часть конфиденциальной информации и планировал получить выкуп. Инцидент произошел в воскресный день,

Генеральный директор Austal Дэвид Синглтон (David Singlton) рассказал, что сеть была взломана с использованием учетных данных, купленных на подпольном форуме. Инцидент произошел воскресным днем, поэтому хакер какое-то время мог свободно совершать боковое перемещение по сети.

Хотя злоумышленнику удалось получить доступ к нескольким информационным системам компании, каким-то необъяснимым образом он не заметил самые ценные данные в хранилищах. «То есть преступник ходил по „виртуальным комнатам“ нашего „дома“ и собирал „вещи“ по ходу», — отметил Синглтон. Эту ситуацию он сравнил с ограблением дорогого особняка: как будто бы вор проник в гостиную, где висела картина Рембрандта, но взял лишь недорогой телевизор.

Это был не единственный счастливый случай для компании Austal в тот день. Второй раз судостроителям повезло, когда хакер, накопив определенный набор данных для копирования на внешние источники, своими неумелыми действиями вызвал тревогу. В результате перегрузки накопителя данных в воскресенье вечером включился аварийный сигнал, на который среагировала служба безопасности. Уже к утру понедельника ее специалисты полностью закрыли доступ к системам. «ИТ-отдел смог очень быстро реагировать на ситуацию. Они закрыли доступ ко всем портам и убедились, что никакие данные больше нельзя загружать или выгружать», — рассказал Дэвид Синглтон.

Спугнутый хакер ретировался. Затем он разослал письма примерно 50 сотрудникам Austal c сообщением о взломе и с требованием перечислить ему определенную сумму в биткойнах за возврат украденных данных. Однако, в планы компании не входило идти на поводу у вымогателя, поскольку примерно за год до инцидента она перевела свои информационные ресурсы в облако и подключила резервное копирование.

После взлома Austal уделила повышенное внимание системе паролей. Выяснилось, что хакер воспользовался примитивным паролем типа Austal123 или Password123. «Это меня многому научило. Я понял, что слабым звеном в любой системе безопасности часто могут быть люди», — сообщил Синглтон. По его словам, компания уже внедрила систему, мотивирующую пользователей на использование сложных паролей и их регулярную смену.

Кроме того, в Austal значительно ужесточили порядок доступа во внутренние системы. Это значит, что теперь даже если злоумышленник войдет в сеть компании через «парадную дверь», он не сможет свободно перемещаться по системе, сбор данных будет значительно затруднен.