被黑客攻击的丹麦电力公司反思严重的安全漏洞 - 彭博社

Jordan Robertson

2024-11-23

很少看到公司公开谈论被黑客攻击的事情。当高管们提供细节时，通常是通过新闻稿的无实体行话或经过仔细法律审查的对国会的发言。

这就是为什么当我参加在哥本哈根举行的网络安全会议时，Jysk Energi的首席执行官和IT安全负责人坦诚讨论2023年12月的一次黑客攻击，并通过暂停关键IT系统来应对时，这让我感到惊讶和耳目一新。

在会议上，我与Jysk的IT安全负责人Mikael Tomra Romanius谈论了这一事件，以及公司为何决定公开谈论此事。这是与被黑客攻击的公司高管进行的一系列对话的一部分，讨论他们从经历中学到了什么。

入侵的第一个迹象出现在12月9日星期六下午3:15左右，当时Romanius说他收到了关于其管理账户潜在问题的警报。他认为这是误报并忽略了它。大约两个小时后，第二个警报显示有人正在使用该账户登录Jysk网络上的一个敏感服务器——这是明显的违规迹象。

Mikael Tomra Romanius，Jysk Energi A/S的IT安全负责人，这是一家位于丹麦西部的私人电力公司，成立已有101年，因黑客攻击在12月几乎停机了一周。来源：摄影师Anders Trrup根据丹麦法律，公用事业公司必须保留网络事件响应公司，Jysk的情况是丹麦公司CSIS Security Group A/S，Romanius说。大约在下午5:15，他们启动了泄露调查，到晚上7点，Romanius决定切断公司所有的互联网连接以控制黑客攻击。该公司披露了泄露事件，其IT系统一直离线，直到下一个星期六。

没有数据被盗或被锁定以要求赎金。然而，CSIS认为攻击者属于Akira勒索软件集团，黑客试图在网络中部署恶意软件。

入侵者通过Jysk认为不特别敏感的服务器进入，该服务器仅保存有关公用事业埋藏电缆位置的公开数据，Romanius说。该设备是Jysk在几年前收购名为Fiber Backbone A/S的公司时获得的。该服务器被识别为潜在风险——尽管风险较低——并被列入最终将加入Jysk安全网络的IT系统名单。

但黑客先一步进入，利用存储在服务器上的管理员凭据提升他们的权限并在Jysk的网络中移动，Romanius说。攻击在造成严重损害之前被发现，但为期一周的IT停机严重干扰了业务，Jysk吸取了几个惨痛的教训。

其中一个问题是Jysk的管理账户在网络上拥有过多的访问权限，Romanius对此负责。他表示，公用事业公司已经收紧了对每个账户可以访问的数据类型的控制。

另一个问题是Jysk在将Fiber Backbone的IT系统迁移到Jysk的企业网络时处理不当，他说。Jysk未能在收购讨论和合并规划中涉及其IT和IT安全部门，这导致系统迁移缓慢，并使漏洞得以存在，Romanius说。

“在任何时候IT都没有参与——重点只是保持业务运转，”他说。

我们本周学到了什么

国家安全局局长希望帮助行业和外国盟友应对最近一系列被指责为中国黑客所为的电信渗透事件。

空军将军蒂莫西·霍夫，国家安全局和网络司令部的负责人，在周三的国家安全创新论坛上对彭博新闻表示，他希望提供一个公开的“猎杀指南”，以便网络安全专业人士和公司能够寻找黑客，采取对策并将其从电信网络中消灭。

最终目标是“揭示到底发生了什么”，以便公司和盟友能够自我防御。但目前已经有一系列执法程序、多项调查和涉及的公司。实现公开披露需要快速的合作。-- 卡特里娜·曼森

我们正在阅读的内容

某些 Stop & Shops 的网络事件导致感恩节前的短缺。
中国的监控国家将公民的数据作为副业出售，Wired 报道。
这可能会对你的健康追踪器的数据产生什么影响。
极端分子在 Telegram 上假装成搏击俱乐部，在美国引发警报。
俄罗斯间谍在一次前所未有的黑客攻击中从一个网络跳到另一个网络。
罗南·法罗探讨了美国政府可能如何使用间谍软件对付美国人。
美国对一个非法信用卡市场的打击导致两名巴基斯坦人和一名阿富汗人被捕。
筛查服务 Clear 在机场的主导地位可能即将结束。
苹果敦促用户更新他们的设备，以应对零日攻击。
书籍推荐：在 阿基琉斯陷阱*中，*史蒂夫·科尔探讨了一系列误解如何导致美国在伊拉克的战争。这部分基于一份被挖掘出的与萨达姆·侯赛因的高层会议录音档案。

钓鱼攻击

显然。

**有新闻线索吗？**您可以通过 [email protected] 联系乔丹·罗伯逊。您还可以使用我们的 SecureDrop 安全且匿名地向我们发送文件。

我们本周学到了什么

我们正在阅读的内容

钓鱼攻击

更多来自彭博社