Schwaches Passwort ermöglicht Angriff auf Pipeline Betreiber

Ein einziges kompromittiertes Passwort war die Ursache des jüngsten Angriffs auf die Colonial Pipeline, die größte Pipeline der USA. Es handelte sich um das Passwort eines bereits inaktiven Virtual Private Network (VPN) Kontos, das Mitarbeitern den Fernzugriff auf das Netzwerk des Unternehmens ermöglicht, so berichtet Charles Carmakal, Vice President der Cybersicherheitsfirma Mandiant, die den Fall untersuchte.

In einem Interview mit Bloomberg sagte der Experte, dass der Verdachte bestehe, dass das Passwort des Accounts in einer Sammlung geleakter Passwörter im Darknet gefunden wurde. Das bedeutet, dass ein Mitarbeiter das Passwort zuvor möglicherweise für ein anderes gehacktes Konto verwendet habe, so Carmakal.

Das VPN-Konto nutzte keine Multi-Faktor-Authentifizierung, sodass die Hacker nur mit Login und Passwort in das Netzwerk von Colonial Pipeline eindringen konnten. Wie die Hacker an den korrekten Benutzernamen des Accounts gelangten, ist nicht bekannt.

Mandiant untersuchte auch, wie weit die Gruppe Darkside, die den Angriff durchgeführt hatte, in die Netzwerke von Colonial Pipeline eingedrungen waren. Es fanden sich keine Beweise, dass die Hacker weitere Versuche unternommen hatten. Außerdem war der Zugriff der Gruppe offenbar auf die IT-Netzwerke limitiert und betraf nicht die kritischeren Systeme der Betriebstechnologie (OT).

Der Pipeline-Betreiber Colonial war Anfang Mai Opfer eines Ransomware-Angriffs geworden, der die IT-Systeme und den Betrieb vorübergehend lahmlegte. Das Unternehmen bezahlte 4,4 Millionen US-Dollar Lösegeld in Form von Kryptowährungen, um den Entschlüsselungsschlüssel zur Wiederherstellung der Daten zu erhalten. Dem US-Justizministerium gelang es jedoch in einem beispiellosen Schritt, einen Großteil der millionenschweren Zahlung zurückzuerhalten.