Clorox在2020年的审计揭示了其工厂存在的网络安全漏洞 - 彭博社

Ryan Gallagher, Leslie Patton

2024-03-26

在2021年，Clorox公司的消毒湿巾罐沿着位于乔治亚州Forest Park的制造工厂的传送带移动。

摄影师：Matt Odom/Bloomberg在2023年的一次网络攻击之前的几年，这次攻击扰乱了美国最大的消毒剂生产商之一的制造业务，这发生在流感季节来临之际。一项审计警告称，该公司生产系统存在系统性的网络安全漏洞。

根据三名描述了审计结果的前员工，Clorox公司在2019年和2020年进行的内部审计中，审计人员指出的不足之处包括过时的计算机，其中一些运行着较旧的Windows 98和Windows XP操作系统，使它们容易受到入侵。审计人员敦促Clorox公司在美国和海外共约30个制造厂周围建立一种数字边界，将它们隔离开来，以减少攻击的影响，这是根据前员工和两名现任员工的说法。

然而，Clorox公司的高级领导推迟了改进，并削减了对制造厂网络安全防御的建议升级，部分原因是他们想降低成本，这是根据五名要求匿名以讨论公司内部信息的人士的说法。根据现任员工的说法，到2023年8月的入侵时，大多数工厂尚未完成所有建议的安全升级。

公司表示，审计中确定的漏洞并没有导致黑客入侵Clorox系统。然而，三名前员工和两名现任员工表示，如果在攻击发生时已经实施了审计建议的升级，可能有助于减轻后果。

在遭受攻击后，Clorox 公司花了大约三周的时间才恢复到三分之二的工厂开始生产产品的水平 — 直到攻击后的七周后的9月29日，所有的生产工厂才“恢复正常生产”，根据公司的说法。与此同时，商店里的清洁用品卖光了，Clorox 公司自己也因此损失了价值数亿美元的销售额。

Clorox 公司的发言人 Linda Mills 表示，关于 Clorox 延迟或减少推荐的数字防御升级，使其容易受到攻击的说法是“显然不实的”。她表示，审计中的发现与黑客攻击的原因、严重程度或公司的恢复过程没有任何关联。Clorox 公司采取了预防措施，将生产系统与网络隔离开来，以防止勒索软件事件的发生。

黑客通过针对第三方 IT 帮助台供应商的社会工程攻击进入了公司的网络。Mills 表示，Clorox 公司在几小时内就察觉到了入侵，并立即采取措施阻止和修复损害。

“你提出的问题并没有导致或造成网络攻击的漏洞，”她回应彭博社的提问时说。“把这两者联系起来就好比暗示一个建筑没有喷水灭火系统是导致另一个完全不同的建筑发生火灾的原因。”她还反驳了现任和前任员工声称，如果按照审计的推荐升级措施，就能减轻黑客攻击带来的后果。

审计提出的问题已经“得到充分解决或正在得到解决，”米尔斯说。在首席执行官琳达·伦德尔（Linda Rendle）的领导下，该公司在三年内将其在网络安全方面的投资增加了一倍以上，米尔斯说。她拒绝提供有关公司对审计的回应或其在数字防御方面的投资的更多细节。

琳达·伦德尔来源：Clorox审计，以及违规事件本身，突显了用于管理诸如财务、人力资源和电子邮件等数据的技术与用于制造业、石油和天然气以及公用事业等行业中操作工业系统的软件和硬件之间的差异。随着企业要求从制造工厂（或其他工业设施）获取更多远程访问和实时生产数据以支持决策，这些系统的连接越来越紧密，根据Protiviti咨询公司安全与隐私实践部门的主管贾斯汀·特纳（Justin Turner）说。特纳没有参与对Clorox黑客攻击的应对。

但特纳表示，信息技术（IT）系统和运营技术（OT）系统之间的连接也引入了必须考虑的安全风险。他说，制造设施在多大程度上依赖公司的IT网络可能会决定在遭受攻击后生产能够多快恢复。他说，健康和安全问题也可能决定工厂生产何时恢复。

2021年，例如，黑客对美国最大的燃油管道Colonial Pipeline的IT网络部署了勒索软件。该公司被迫关闭管道五天，导致美国东海岸出现燃料短缺，以确保恶意软件不会传播到OT网络，据该公司称。

“完全断开OT和IT之间的连接非常困难，”Debevoise & Plimpton的数据战略和安全合伙人兼主席Luke Dembosky说，他为公司提供关于网络安全风险的建议，但并未参与Clorox遭遇的违规事件响应。他说，保持这两个系统之间的连接尽可能少是有利的，以使传染变得更加困难。“你尽量保持狭窄。”

Clorox生产系统的审计侧重于OT网络中的网络安全漏洞，并建议保护和隔离的方法，知情人士称。然而，Mills表示，“我们花费如此长时间重新连接我们的OT和IT环境，是因为我们的运营规模和范围很大，与攻击之前工厂级别的安全状态无关。”该公司在重新连接其制造工厂到新建的IT环境时非常谨慎，她说，“我们在处理一个非常复杂的对手，我们需要确保对手没有以某种方式隐藏在我们的某个远程位置，包括工厂，只等着我们重新连接，以便他们可以重新感染我们的IT网络。”

总部位于加利福尼亚州奥克兰的Clorox不仅生产消毒湿巾和马桶清洁剂，还生产包括Hidden Valley Ranch沙拉酱、Burt’s Bees唇膏和Fresh Step猫砂在内的各种其他产品。

这次黑客攻击导致Clorox销售额下降约3.5亿美元，并预计与黑客攻击本身相关的成本高达6,000万美元，根据Mills的说法。随着Clorox在全国各地重新建立库存，该公司最新季度销售额有所增长。该公司在二月份表示，已经恢复了因违规行为而损失的86%的分销。首席财务官凯文·雅各布森在二月份的一次采访中表示，对于一些类别，如猫砂和Glad袋，公司仍未完全重新补货。

这篇报道基于对三名现任员工、四名前员工和两名供应商的采访，他们都要求匿名讨论敏感信息，另外还包括Clorox提供的信息。

订阅《网络安全简报》，获取独家报道，深入了解黑客和网络间谍的阴影世界，以及企业如何进行防御。

入侵事件首次被发现是在8月11日，当时公司表示在其计算机网络中检测到“未经授权的活动”，并于8月14日公开了这一消息。这一事件造成了广泛的混乱。公司在遭受袭击后告诉彭博新闻，它正在将新近停工的工厂员工转移到清洁和培训任务，并且不得不销毁过期产品，因为无法发货。

在克乐漏斯的网络中，入侵者部署了勒索软件，一种加密计算机和服务器上文件的恶意软件。克乐漏斯的网络安全人员试图驱逐入侵者，但未能成功，因此他们开始关闭计算机系统，试图阻止损害进一步扩散，根据两位熟悉此事的人。这一举动阻止了公司的制造系统被渗透，根据米尔斯的说法。

克乐漏斯拒绝支付黑客来解锁被Compromised的计算机，根据一位接近调查的人。目前尚不清楚索要多少赎金。

2023年8月的事件并不是克乐漏斯的第一次安全事件。

在2018年的一起未披露的事件中，公司会计部门的一名员工被骗支付了大约50万美元的克乐漏斯资金，根据三位熟悉此事的人。一名身份不明的罪犯假装是承包商，通过电子邮件欺骗员工向他们支付款项。在FBI的帮助下，公司后来能够收回大部分资金，根据这些人的说法**。**

FBI没有回应有关2018年事件的评论请求。

2021年3月10日，美国乔治亚州Forest Park的克乐漏斯公司制造设施。摄影师：Matt Odom/Bloomberg在这起诈骗事件之后，克乐漏斯开始更广泛地培训员工，以防范常见的黑客攻击方法，三位知情人士表示。米尔斯承认了这一事件，但否认它导致了更广泛的网络安全培训，称公司一直在“持续推广对抗网络攻击的员工的实用和现实培训”。

但是据三位知情人士称，该公司的制造工厂仍然存在漏洞。据其中一位知情人士称，审计最初是Clorox的一个小团队对一家工厂的安全性进行例行评估。后来，Clorox请来第三方审计员对多家工厂进行更大范围的评估，以更好地了解影响制造环境的问题，包括一次性和系统性问题。

据三位知情人士称，审计发现一些生产系统的防火墙和安全设备保护不足，无法将它们与外部网络隔离开来，并监视和拒绝潜在的恶意活动。

据知情人士称，公司领导有时不愿意关闭制造工厂进行网络安全升级。这正值疫情爆发的最初几年，当时Clorox在努力满足消毒湿巾的需求，自己的设施每天24小时运转以满足需求。

据知情人士称，Clorox的网络防御存在其他问题，这些问题受到二十年收购活动的影响，导致新旧设备混杂，难以维护和升级。Clorox没有回应关于其据称不愿关闭工厂和据称设备混杂的评论请求。

与此同时，据知情人士称，大约六名网络安全专家最终离开了公司，部分原因是对Rendle担任CEO期间对网络安全投资不足的不满。两名现任员工称，一些离职员工在去年夏天发生攻击时尚未被替代，这导致公司在威胁和风险管理以及安全工程等领域缺乏专业知识。

克莱洁（Clorox）发言人米尔斯表示，公司在网络安全基础设施方面进行了“重大升级”，包括漏洞管理、云安全、移动设备安全、威胁检测、身份和访问管理。她表示，有关克莱洁没有替换网络安全角色的说法是不准确的，并补充说公司已经“重新设计了我们的网络安全团队，提升了工程、架构和风险管理方面的技能，以及现代化了我们的基础设施。” 她表示，公司的IT安全团队整体规模在过去四年有所增加，并补充说克莱洁也增加了第三方人员配备。

销售波动

克莱洁在2024年第一季度遭遇网络攻击后销售额下降

来源：公司文件

2021年中期，内部审计完成后，克莱洁招聘了一位新的首席信息安全官，或CISO。但公司领导将安全工作与另一职位——企业安全和基础设施副总裁合并，两名前员工表示。一些员工表示，这一变化给新任CISO艾米·博加克带来了挑战，因为她不得不同时兼顾两个高压工作，而不是专注于网络安全。博加克未回应置评请求。米尔斯表示，暗示博加克的双重角色影响了公司的安全重点或姿态是不准确的。

在遭遇黑客攻击时，克莱洁正在实施一项价值5亿美元的数字化转型，最初由伦德尔在2021年提出。但据三名知情人士称，该努力主要集中在升级公司的企业资源规划系统——用于管理日常业务活动的软件，并未涵盖制造设施的网络安全升级。克莱洁未回应有关数字化转型重点的问题。

Clorox拒绝透露责任方。十月份，彭博新闻报道称，涉嫌肇事者是一个名为Scattered Spider的团伙，这个团伙与去年对MGM度假村国际和凯撒娱乐公司的网络攻击有关。这个团伙擅长瞄准IT帮助台，冒充员工获取账户访问权限。

根据两名现任员工的说法，在Clorox的入侵中，入侵者冒充员工欺骗帮助台助手重置凭据以获取账户访问权限。一旦登录，他们就能更广泛地访问公司系统，最终破坏了其Active Directory，这是一个用于管理网络内权限、设备和用户的微软服务。

网络攻击可以发生在公司的网络防御措施之外，”网络安全公司Luta Security的创始人兼首席执行官Katie Moussouris表示。但她补充说，“良好的网络最佳实践将有助于在任何入侵后更好地检测、遏制和恢复。”Luta Security。

Moussouris表示，在公司网络内创建对特权用户可以做什么的严格限制可以减轻黑客渗透后造成的损害程度。这些控制可以限制黑客在内部系统中自由移动的能力，如果他们通过社会工程等方式获得特权账户的密码。

Rendle在与投资者的电话会议中一直保持乐观。在2月22日的一次会议上，她表示公司仍在努力恢复其零售货架空间和失去的客户。“工作还没有完成，直到我们完全恢复家庭，完全恢复分销，我们所有的商品陈列都回来，”她说。“我们在下半年有计划做到这一点，并有投资支持。”

在11月，Clorox的董事会任命 Rendle为其主席，从2024年开始，并赞扬她处理网络攻击的能力。

与此同时，CISO Bogac在担任该职位两年半后离开了公司。Clorox的一位代表在一份内部备忘录中表示，Bogac“在公司内外是网络安全最佳实践的倡导者。” Mills表示，Bogac离职并非因为Clorox遭受了黑客攻击。

此后，Clorox发布了一则广告，招聘首席信息安全和基础设施官。广告称，成功的候选人将需要“识别和防范关键威胁。”