造船奥斯塔与黑暗的网站上出售的被盗creds砍死
2020-04-09
奥斯塔,在ASX上市的造船和国防承包商,是在2018年后期由谁使用在一个漆黑的网络论坛购买的登录凭据,但谁再未能提取多少价值还是得到赎金把它返回一个攻击者妥协 CEO大卫·辛格尔

奥斯塔,在ASX上市的造船和国防承包商,是在2018年后期由谁使用在一个漆黑的网络论坛购买的登录凭据,但谁再未能提取多少价值还是得到赎金把它返回一个攻击者妥协

CEO大卫·辛格尔顿提供上周中期,2018年10月违约的完整验尸 - 他说包括来自政府高级部长煎烤 - 并透露网络防御到位后救了从公司凭据钓鱼或最近在过去两周。

辛格尔顿说,该公司在2018年十月违反使用黑暗网络上出售偷来的证书,一个地方,他定性为一种“平行宇宙......犯罪分子藏在哪里犯罪盛行。”

“我还是不真的知道什么是[暗网]是,”辛格尔顿说最近的一次行业盛会。

“但是在这个平行宇宙中,你可以购买公司的地址,你可以买到这些地址去密码,你可以使用这些密码进入别人的系统。这就是发生在我们身上的奥斯塔。

“有人买了密码从互联网上。”

看来被盗凭据也相对较弱,是无论是“Password123”或“Austal123”。

,攻击者使用偷来的凭据来访问奥斯塔系统上周日下午,然后能横向移动“很容易。”

“刑事走来走去的“虚拟房间“在我们的‘家’,并收集东西(他们)去了,”辛格尔顿说。

尽管攻击者并从多个系统收集数据,他们莫名其妙地越过了最有价值的材料

“在很多方面,我们很幸运在墙上我们主客厅是一个非常昂贵的伦勃朗 - [但]什么他竟然落得这样做偷电视机,这是高度可替换的,而且具有更少的价值,”辛格尔顿说。

‘所以我们只能靠运气在许多方面幸运的,但幸运的。’

[ 123]奥斯塔也经历了第二条“运气”,用攻击触发,因为它们储存起来渗出数据报警。

“我们发现了什么事情的方式是不是别人[他们]把信息从“家”的房间里,他们装到一个特定的存储驱动器从他们当时...提取到外部,并且[他们] Overloaded存储驱动器,”辛格尔顿说。

“由于超载存储驱动的结果,它发出警报在星期日的晚上,众人离开办公室。

“这是第一个触发我们有不对劲和回事。”

事件响应和赎金

当辛格尔顿来到办公室周一早期,事件响应由行动公司的信息系统和技术(IS&T)团队已经展开。

“我们做的第一件事是锁定系统,”他说。

“IT部门能够动真的很快上。他们关闭所有外部端口和确保没有更多的信息可以移入或移出制造。”

然而,迅速通风报信公司的数千工作人员,并最终供应商和客户的东西是错误的。

“霎时间,数百名员工都知道,有什么东西不对劲。他们不能收到一封电子邮件时,他们不能得到一个回复​​电子邮件,它们不能访问任何东西,有一个需求,了解正在发生的事情和形势的紧迫性时刻增加的时刻,”辛格尔顿说。[ 123]

“几个小时后,你开始得到供应商在振铃和其他人在打电话,[问]“这是怎么回事,我们没有走出你的任何信息,我们为什么不能给你一些数据“

‘所以做起事情来非常非常快速移动,你必须要做好准备。’

在早期,奥斯塔称为它的保险公司,这 - ?“,以示你它的紧迫性 - 来自英国立即直接发送人tely”,以帮助扫荡。

“四小时内我们将调用我们的保险公司,他们已经有人在伦敦航班,下来到珀斯,帮助我们恢复操作,并其中的原因是,他们知道比任何人发生了什么事是如此深刻,你必须把它迅速作出反应,将损失降至最低闪电般的速度,”辛格尔顿说好。

该公司还呼吁澳大利亚网络安全中心(ACSC),这有助于“锁门,干净的发生了什么后遗症的‘房间’和交易。”

辛格尔顿说,袭击动机很快成为显而易见的。

“黑客由赎需求,”他说。

“这只是普通犯罪。这是谁只是想exto个人从公司RT钱才能返回数据的方式,以及(他们)做了一件[于]发送电子邮件至50或60人在组织说,“你已经被黑客入侵。这些都是我需要为我回到我所窃取”数据的比特币。

“我们很幸运,因为我刚才所说,我们没有失去我们的伦勃朗,我们已经失去了我们的电视机,和我们是不是在脑海中都应对敲诈。”

廉泉

随着指参学院的协助下,奥斯塔走上了‘廉泉’的系统。[ 123]

“在这一点上,我们不知道是怎么回事我们的系统里面有什么,”辛格尔顿说。

“我们不知道是否有人把一只虫子在里面。我们不知道我们的数据是否正在蚕食和破坏迅速。我们不知道是否有人已经离开了一些后门程序中,这样以后可以一起去上。”

奥斯塔的系统 - 和数据 - 主要是基于云的,公司有信心也有备份

。“大约一年前我们会感动我们的数据和我们的系统到云,以便帮助极大,因为它使我们非常有信心,我们有备份文件要追溯到我们需要去,因为服务的质量,我们可以从那里,”辛格尔顿说。

“所以,我们从来没有在我们担心失去我们的核心数据的位置,这是一个极大的安慰我,因为这个想法,你可能会丢失数据的大部分地区,因为它是被吃掉了一些恶性的错误将是一个非常可怕的想法。

“这是一个教训,我认为迁移到云中我们已经真正的在我们能够迅速稳定局势,能够在移动LY重要的。”

抢断密码的安全性,横向移动

奥斯塔已经把显著努力来提高密码安全性的觉醒违反

“的导致的问题是密码的事情,在事件发生后立即这样 - 记住,现在我们所有的员工知道发生了什么,他们知道这是作为密码的结果 - 我们强制二级密码的变化,”辛格尔顿说。

“每个人都有在24小时内更改他们的密码两次。然后在该年底,我们跑了[代码],使我们能够通过在公司每个人的密码,看看

“有这两个密码的40个版本 - Password123和Austal123 - 这教我事端克所有这一切真的很重要......在任何系统中的薄弱环节往往是你的人。

“即使在一个网络断线,人在使用Password123,并Austal123作为密码,非常的密码这已经得到了网络罪犯进入系统摆在首位。”

辛格尔顿说,自投放在澳大利亚开发的软件工具,强制用户设置更复杂的密码,并经常更换他们奥斯塔了。

这也导通多因素认证,使其不再授予访问单独使用一个简单的用户名 - 密码的组合系统;和拧紧的访问权限的范围内的系统。

“这意味着,如果有人通过前门得到再次,它们对系统走动,收集更多的数据的能力,现在是米UCH更限于比它本来之前,”单例所述。

然后奥斯塔接合的外部pentester以检查其防御。该pentester无法获得来自外部的访问,以及 - 当奥斯塔让他们 - 也无法进行横向移动

“他们做的下一件事是他们派一个人走进工地,”辛格尔顿说:

“他是这方面的专家 - 和管理,以获得进入网站

。“他有USB驱动器的屈指可数,而他就在我们的组织和请人把一个USB驱动器到他们的电脑,检查是在它的数据。对USB驱动器是一个恶意软件,他还特意穿上了那表明他一直能够做到这一点。

“然后,他留在我们的IT部门一个USB驱动器,并somebODY IT部门拿起USB驱动器,并把它放在自己的电脑,同时也转移了恶意软件到我们的系统。 “再次,它告诉我们,不仅电子安全的重要性,而且在我们的环境物理安全一样。”

本公司的认证制度和内部准备也收到了过去两周的时候内的真实世界测试一个来自立陶宛一个所谓的项目工程师钓鱼邮件在多个收件箱抵达。

“发生了什么事... 40人在我们的第一个小时组织点击了‘下载提案’[按钮,在电子邮件] ,”辛格尔顿说。

“当你去那下载的提案,它要求你把你的电子邮件地址和密码。

“不管你信不信,毕竟所经历的事ŤØ我们,五人把他们的电子邮件地址和密码,这给了他们对系统的访问。救了我们一件事是多因素认证。”

受害者,谴责

辛格尔顿说,他已被ACSC,阿拉斯泰尔MacGibbon当时头劝,那奥斯塔也将结束柯平指责这一事件。

MacGibbon以前在其他黑客也表达了类似的观点。

的“指参学院的负责人,在这一切的开始对我说,“你需要记住所有通过这个过程,你会去通过你是受害者,因为会发生什么是你会被羞辱的受害者,人们会开始点到你为问题”的方式,”他说。[123 ]

“他就向我描述了一些那些真正unfortun的吃了我们谁也分摊怪的一些元素,谁已经犯罪的受害者人民法官的过去所听到的故事:“为什么在城市特定区域你出去在凌晨两点钟?你问吧”。”

这风铃声真的。

“我被召入澳大利亚政府去解释自己......一些非常资深部长。 ..我们如何设法当我们有我们的网站国防信息被黑客入侵,”辛格尔顿说。

“你开始创造一种环境,让人们忘记你是受害者,并开始认为你是在某种程度上肇事者。”

辛格尔顿说,他已经决定在申办去公众帮助其他各大公司实现简单的保护措施。

“如果有足够多的人谈论ŧ他的这种痛苦,这种难度,事后清理的成本,业务中断的话,也许更多的人会做一些这些简单的事情,我已经谈过这个问题真的可以让一个根本的区别,”他说。

关注菲娱2官网(www.ynmzfcw.com)。