Clorox在2020年的審計揭示了其工廠存在的網絡安全漏洞 - 彭博社

Ryan Gallagher, Leslie Patton

2024-03-26

在2021年，Clorox公司的消毒濕巾罐沿着位於喬治亞州Forest Park的製造工廠的傳送帶移動。

攝影師：Matt Odom/Bloomberg在2023年的一次網絡攻擊之前的幾年，這次攻擊擾亂了美國最大的消毒劑生產商之一的製造業務，這發生在流感季節來臨之際。一項審計警告稱，該公司生產系統存在系統性的網絡安全漏洞。

根據三名描述了審計結果的前員工，Clorox公司在2019年和2020年進行的內部審計中，審計人員指出的不足之處包括過時的計算機，其中一些運行着較舊的Windows 98和Windows XP操作系統，使它們容易受到入侵。審計人員敦促Clorox公司在美國和海外共約30個製造廠周圍建立一種數字邊界，將它們隔離開來，以減少攻擊的影響，這是根據前員工和兩名現任員工的説法。

然而，Clorox公司的高級領導推遲了改進，並削減了對製造廠網絡安全防禦的建議升級，部分原因是他們想降低成本，這是根據五名要求匿名以討論公司內部信息的人士的説法。根據現任員工的説法，到2023年8月的入侵時，大多數工廠尚未完成所有建議的安全升級。

公司表示，審計中確定的漏洞並沒有導致黑客入侵Clorox系統。然而，三名前員工和兩名現任員工表示，如果在攻擊發生時已經實施了審計建議的升級，可能有助於減輕後果。

在遭受攻擊後，Clorox 公司花了大約三週的時間才恢復到三分之二的工廠開始生產產品的水平 — 直到攻擊後的七週後的9月29日，所有的生產工廠才“恢復正常生產”，根據公司的説法。與此同時，商店裏的清潔用品賣光了，Clorox 公司自己也因此損失了價值數億美元的銷售額。

Clorox 公司的發言人 Linda Mills 表示，關於 Clorox 延遲或減少推薦的數字防禦升級，使其容易受到攻擊的説法是“顯然不實的”。她表示，審計中的發現與黑客攻擊的原因、嚴重程度或公司的恢復過程沒有任何關聯。Clorox 公司採取了預防措施，將生產系統與網絡隔離開來，以防止勒索軟件事件的發生。

黑客通過針對第三方 IT 幫助台供應商的社會工程攻擊進入了公司的網絡。Mills 表示，Clorox 公司在幾小時內就察覺到了入侵，並立即採取措施阻止和修復損害。

“你提出的問題並沒有導致或造成網絡攻擊的漏洞，”她回應彭博社的提問時説。“把這兩者聯繫起來就好比暗示一個建築沒有噴水滅火系統是導致另一個完全不同的建築發生火災的原因。”她還反駁了現任和前任員工聲稱，如果按照審計的推薦升級措施，就能減輕黑客攻擊帶來的後果。

審計提出的問題已經“得到充分解決或正在得到解決，”米爾斯説。在首席執行官琳達·倫德爾（Linda Rendle）的領導下，該公司在三年內將其在網絡安全方面的投資增加了一倍以上，米爾斯説。她拒絕提供有關公司對審計的回應或其在數字防禦方面的投資的更多細節。

琳達·倫德爾來源：Clorox審計，以及違規事件本身，突顯了用於管理諸如財務、人力資源和電子郵件等數據的技術與用於製造業、石油和天然氣以及公用事業等行業中操作工業系統的軟件和硬件之間的差異。隨着企業要求從製造工廠（或其他工業設施）獲取更多遠程訪問和實時生產數據以支持決策，這些系統的連接越來越緊密，根據Protiviti諮詢公司安全與隱私實踐部門的主管賈斯汀·特納（Justin Turner）説。特納沒有參與對Clorox黑客攻擊的應對。

但特納表示，信息技術（IT）系統和運營技術（OT）系統之間的連接也引入了必須考慮的安全風險。他説，製造設施在多大程度上依賴公司的IT網絡可能會決定在遭受攻擊後生產能夠多快恢復。他説，健康和安全問題也可能決定工廠生產何時恢復。

2021年，例如，黑客對美國最大的燃油管道Colonial Pipeline的IT網絡部署了勒索軟件。該公司被迫關閉管道五天，導致美國東海岸出現燃料短缺，以確保惡意軟件不會傳播到OT網絡，據該公司稱。

“完全斷開OT和IT之間的連接非常困難，”Debevoise & Plimpton的數據戰略和安全合夥人兼主席Luke Dembosky説，他為公司提供關於網絡安全風險的建議，但並未參與Clorox遭遇的違規事件響應。他説，保持這兩個系統之間的連接儘可能少是有利的，以使傳染變得更加困難。“你儘量保持狹窄。”

Clorox生產系統的審計側重於OT網絡中的網絡安全漏洞，並建議保護和隔離的方法，知情人士稱。然而，Mills表示，“我們花費如此長時間重新連接我們的OT和IT環境，是因為我們的運營規模和範圍很大，與攻擊之前工廠級別的安全狀態無關。”該公司在重新連接其製造工廠到新建的IT環境時非常謹慎，她説，“我們在處理一個非常複雜的對手，我們需要確保對手沒有以某種方式隱藏在我們的某個遠程位置，包括工廠，只等着我們重新連接，以便他們可以重新感染我們的IT網絡。”

總部位於加利福尼亞州奧克蘭的Clorox不僅生產消毒濕巾和馬桶清潔劑，還生產包括Hidden Valley Ranch沙拉醬、Burt’s Bees唇膏和Fresh Step貓砂在內的各種其他產品。

這次黑客攻擊導致Clorox銷售額下降約3.5億美元，並預計與黑客攻擊本身相關的成本高達6,000萬美元，根據Mills的説法。隨着Clorox在全國各地重新建立庫存，該公司最新季度銷售額有所增長。該公司在二月份表示，已經恢復了因違規行為而損失的86%的分銷。首席財務官凱文·雅各布森在二月份的一次採訪中表示，對於一些類別，如貓砂和Glad袋，公司仍未完全重新補貨。

這篇報道基於對三名現任員工、四名前員工和兩名供應商的採訪，他們都要求匿名討論敏感信息，另外還包括Clorox提供的信息。

訂閲《網絡安全簡報》，獲取獨家報道，深入瞭解黑客和網絡間諜的陰影世界，以及企業如何進行防禦。

入侵事件首次被發現是在8月11日，當時公司表示在其計算機網絡中檢測到“未經授權的活動”，並於8月14日公開了這一消息。這一事件造成了廣泛的混亂。公司在遭受襲擊後告訴彭博新聞，它正在將新近停工的工廠員工轉移到清潔和培訓任務，並且不得不銷燬過期產品，因為無法發貨。

在克樂漏斯的網絡中，入侵者部署了勒索軟件，一種加密計算機和服務器上文件的惡意軟件。克樂漏斯的網絡安全人員試圖驅逐入侵者，但未能成功，因此他們開始關閉計算機系統，試圖阻止損害進一步擴散，根據兩位熟悉此事的人。這一舉動阻止了公司的製造系統被滲透，根據米爾斯的説法。

克樂漏斯拒絕支付黑客來解鎖被Compromised的計算機，根據一位接近調查的人。目前尚不清楚索要多少贖金。

2023年8月的事件並不是克樂漏斯的第一次安全事件。

在2018年的一起未披露的事件中，公司會計部門的一名員工被騙支付了大約50萬美元的克樂漏斯資金，根據三位熟悉此事的人。一名身份不明的罪犯假裝是承包商，通過電子郵件欺騙員工向他們支付款項。在FBI的幫助下，公司後來能夠收回大部分資金，根據這些人的説法**。**

FBI沒有回應有關2018年事件的評論請求。

2021年3月10日，美國喬治亞州Forest Park的克樂漏斯公司製造設施。攝影師：Matt Odom/Bloomberg在這起詐騙事件之後，克樂漏斯開始更廣泛地培訓員工，以防範常見的黑客攻擊方法，三位知情人士表示。米爾斯承認了這一事件，但否認它導致了更廣泛的網絡安全培訓，稱公司一直在“持續推廣對抗網絡攻擊的員工的實用和現實培訓”。

但是據三位知情人士稱，該公司的製造工廠仍然存在漏洞。據其中一位知情人士稱，審計最初是Clorox的一個小團隊對一家工廠的安全性進行例行評估。後來，Clorox請來第三方審計員對多家工廠進行更大範圍的評估，以更好地瞭解影響製造環境的問題，包括一次性和系統性問題。

據三位知情人士稱，審計發現一些生產系統的防火牆和安全設備保護不足，無法將它們與外部網絡隔離開來，並監視和拒絕潛在的惡意活動。

據知情人士稱，公司領導有時不願意關閉製造工廠進行網絡安全升級。這正值疫情爆發的最初幾年，當時Clorox在努力滿足消毒濕巾的需求，自己的設施每天24小時運轉以滿足需求。

據知情人士稱，Clorox的網絡防禦存在其他問題，這些問題受到二十年收購活動的影響，導致新舊設備混雜，難以維護和升級。Clorox沒有回應關於其據稱不願關閉工廠和據稱設備混雜的評論請求。

與此同時，據知情人士稱，大約六名網絡安全專家最終離開了公司，部分原因是對Rendle擔任CEO期間對網絡安全投資不足的不滿。兩名現任員工稱，一些離職員工在去年夏天發生攻擊時尚未被替代，這導致公司在威脅和風險管理以及安全工程等領域缺乏專業知識。

克萊潔（Clorox）發言人米爾斯表示，公司在網絡安全基礎設施方面進行了“重大升級”，包括漏洞管理、雲安全、移動設備安全、威脅檢測、身份和訪問管理。她表示，有關克萊潔沒有替換網絡安全角色的説法是不準確的，並補充説公司已經“重新設計了我們的網絡安全團隊，提升了工程、架構和風險管理方面的技能，以及現代化了我們的基礎設施。” 她表示，公司的IT安全團隊整體規模在過去四年有所增加，並補充説克萊潔也增加了第三方人員配備。

銷售波動

克萊潔在2024年第一季度遭遇網絡攻擊後銷售額下降

來源：公司文件

2021年中期，內部審計完成後，克萊潔招聘了一位新的首席信息安全官，或CISO。但公司領導將安全工作與另一職位——企業安全和基礎設施副總裁合併，兩名前員工表示。一些員工表示，這一變化給新任CISO艾米·博加克帶來了挑戰，因為她不得不同時兼顧兩個高壓工作，而不是專注於網絡安全。博加克未回應置評請求。米爾斯表示，暗示博加克的雙重角色影響了公司的安全重點或姿態是不準確的。

在遭遇黑客攻擊時，克萊潔正在實施一項價值5億美元的數字化轉型，最初由倫德爾在2021年提出。但據三名知情人士稱，該努力主要集中在升級公司的企業資源規劃系統——用於管理日常業務活動的軟件，並未涵蓋製造設施的網絡安全升級。克萊潔未回應有關數字化轉型重點的問題。

Clorox拒絕透露責任方。十月份，彭博新聞報道稱，涉嫌肇事者是一個名為Scattered Spider的團伙，這個團伙與去年對MGM度假村國際和凱撒娛樂公司的網絡攻擊有關。這個團伙擅長瞄準IT幫助台，冒充員工獲取賬户訪問權限。

根據兩名現任員工的説法，在Clorox的入侵中，入侵者冒充員工欺騙幫助台助手重置憑據以獲取賬户訪問權限。一旦登錄，他們就能更廣泛地訪問公司系統，最終破壞了其Active Directory，這是一個用於管理網絡內權限、設備和用户的微軟服務。

網絡攻擊可以發生在公司的網絡防禦措施之外，”網絡安全公司Luta Security的創始人兼首席執行官Katie Moussouris表示。但她補充説，“良好的網絡最佳實踐將有助於在任何入侵後更好地檢測、遏制和恢復。”Luta Security。

Moussouris表示，在公司網絡內創建對特權用户可以做什麼的嚴格限制可以減輕黑客滲透後造成的損害程度。這些控制可以限制黑客在內部系統中自由移動的能力，如果他們通過社會工程等方式獲得特權賬户的密碼。

Rendle在與投資者的電話會議中一直保持樂觀。在2月22日的一次會議上，她表示公司仍在努力恢復其零售貨架空間和失去的客户。“工作還沒有完成，直到我們完全恢復家庭，完全恢復分銷，我們所有的商品陳列都回來，”她説。“我們在下半年有計劃做到這一點，並有投資支持。”

在11月，Clorox的董事會任命 Rendle為其主席，從2024年開始，並讚揚她處理網絡攻擊的能力。

與此同時，CISO Bogac在擔任該職位兩年半後離開了公司。Clorox的一位代表在一份內部備忘錄中表示，Bogac“在公司內外是網絡安全最佳實踐的倡導者。” Mills表示，Bogac離職並非因為Clorox遭受了黑客攻擊。

此後，Clorox發佈了一則廣告，招聘首席信息安全和基礎設施官。廣告稱，成功的候選人將需要“識別和防範關鍵威脅。”