被黑客攻擊的丹麥電力公司反思嚴重的安全漏洞 - 彭博社

Jordan Robertson

2024-11-23

很少看到公司公開談論被黑客攻擊的事情。當高管們提供細節時，通常是通過新聞稿的無實體行話或經過仔細法律審查的對國會的發言。

這就是為什麼當我參加在哥本哈根舉行的網絡安全會議時，Jysk Energi的首席執行官和IT安全負責人坦誠討論2023年12月的一次黑客攻擊，並通過暫停關鍵IT系統來應對時，這讓我感到驚訝和耳目一新。

在會議上，我與Jysk的IT安全負責人Mikael Tomra Romanius談論了這一事件，以及公司為何決定公開談論此事。這是與被黑客攻擊的公司高管進行的一系列對話的一部分，討論他們從經歷中學到了什麼。

入侵的第一個跡象出現在12月9日星期六下午3:15左右，當時Romanius説他收到了關於其管理賬户潛在問題的警報。他認為這是誤報並忽略了它。大約兩個小時後，第二個警報顯示有人正在使用該賬户登錄Jysk網絡上的一個敏感服務器——這是明顯的違規跡象。

Mikael Tomra Romanius，Jysk Energi A/S的IT安全負責人，這是一家位於丹麥西部的私人電力公司，成立已有101年，因黑客攻擊在12月幾乎停機了一週。來源：攝影師Anders Trrup根據丹麥法律，公用事業公司必須保留網絡事件響應公司，Jysk的情況是丹麥公司CSIS Security Group A/S，Romanius説。大約在下午5:15，他們啓動了泄露調查，到晚上7點，Romanius決定切斷公司所有的互聯網連接以控制黑客攻擊。該公司披露了泄露事件，其IT系統一直離線，直到下一個星期六。

沒有數據被盜或被鎖定以要求贖金。然而，CSIS認為攻擊者屬於Akira勒索軟件集團，黑客試圖在網絡中部署惡意軟件。

入侵者通過Jysk認為不特別敏感的服務器進入，該服務器僅保存有關公用事業埋藏電纜位置的公開數據，Romanius説。該設備是Jysk在幾年前收購名為Fiber Backbone A/S的公司時獲得的。該服務器被識別為潛在風險——儘管風險較低——並被列入最終將加入Jysk安全網絡的IT系統名單。

但黑客先一步進入，利用存儲在服務器上的管理員憑據提升他們的權限並在Jysk的網絡中移動，Romanius説。攻擊在造成嚴重損害之前被發現，但為期一週的IT停機嚴重干擾了業務，Jysk吸取了幾個慘痛的教訓。

其中一個問題是Jysk的管理賬户在網絡上擁有過多的訪問權限，Romanius對此負責。他表示，公用事業公司已經收緊了對每個賬户可以訪問的數據類型的控制。

另一個問題是Jysk在將Fiber Backbone的IT系統遷移到Jysk的企業網絡時處理不當，他説。Jysk未能在收購討論和合並規劃中涉及其IT和IT安全部門，這導致系統遷移緩慢，並使漏洞得以存在，Romanius説。

“在任何時候IT都沒有參與——重點只是保持業務運轉，”他説。

我們本週學到了什麼

國家安全局局長希望幫助行業和外國盟友應對最近一系列被指責為中國黑客所為的電信滲透事件。

空軍將軍蒂莫西·霍夫，國家安全局和網絡司令部的負責人，在週三的國家安全創新論壇上對彭博新聞表示，他希望提供一個公開的“獵殺指南”，以便網絡安全專業人士和公司能夠尋找黑客，採取對策並將其從電信網絡中消滅。

最終目標是“揭示到底發生了什麼”，以便公司和盟友能夠自我防禦。但目前已經有一系列執法程序、多項調查和涉及的公司。實現公開披露需要快速的合作。-- 卡特里娜·曼森

我們正在閲讀的內容

某些 Stop & Shops 的網絡事件導致感恩節前的短缺。
中國的監控國家將公民的數據作為副業出售，Wired 報道。
這可能會對你的健康追蹤器的數據產生什麼影響。
極端分子在 Telegram 上假裝成搏擊俱樂部，在美國引發警報。
俄羅斯間諜在一次前所未有的黑客攻擊中從一個網絡跳到另一個網絡。
羅南·法羅探討了美國政府可能如何使用間諜軟件對付美國人。
美國對一個非法信用卡市場的打擊導致兩名巴基斯坦人和一名阿富汗人被捕。
篩查服務 Clear 在機場的主導地位可能即將結束。
蘋果敦促用户更新他們的設備，以應對零日攻擊。
書籍推薦：在 阿基琉斯陷阱*中，*史蒂夫·科爾探討了一系列誤解如何導致美國在伊拉克的戰爭。這部分基於一份被挖掘出的與薩達姆·侯賽因的高層會議錄音檔案。

釣魚攻擊

顯然。

**有新聞線索嗎？**您可以通過 [email protected] 聯繫喬丹·羅伯遜。您還可以使用我們的 SecureDrop 安全且匿名地向我們發送文件。

我們本週學到了什麼

我們正在閲讀的內容

釣魚攻擊

更多來自彭博社