أوسلو ، النرويج. رن جرس الهاتف الساعة 4 صباحًا. Thorstein Gimnes يتم الرد على الجرس قبل الفجر مع الخوف من كسر النعاس. وبعد الكلمات الأولى للمحاور ، تكثف الخوف فقط.
وقال
نورسك هيدرو ، المتخصص في تكنولوجيا المعلومات المتصل ، إحدى أكبر شركات الألمنيوم في العالم: "يبدو أنهم يهاجموننا". بعض مصانعها الـ 170 قد أوقفت خطوط الإنتاج. كائنات أخرى تحولت من التحكم في الكمبيوتر إلى دليل.
في غرفة التحكم في مصنع البثق في النرويج. قامت هيدرو بتعليق الإنتاج مؤقتًا في العديد من المصانع في أوروبا والولايات المتحدة الأمريكية بعد الهجوم.
أخبار سيئة. ثم ازداد الأمر سوءًا.
لقد أثر اختراق نظام الأمن في مارس من العام الماضي في النهاية على الجميع في شركة نورسك هيدرو: 35 ألف موظف في 40 دولة. تحولت الملفات الموجودة على الآلاف من الخوادم وأجهزة الكمبيوتر الشخصية إلى قفل. اقترب الضرر المالي من 71 مليون دولار
بدأ كل شيء قبل ثلاثة أشهر ، عندما فتح أحد الموظفين رسالة بريد إلكتروني مصابة من عميل موثوق به. هذا سمح للمتسللين باختراق البنية التحتية لتكنولوجيا المعلومات وإدخال فيروساتهم سرا.
شنقًا ، قام جيمينز آريس ، المسؤول عن أمن المعلومات في شركة نورسك هيدرو ، بالاتصال فورًا برئيس خدمة الاستعداد للطوارئ وعقد اجتماع طارئ في نفس الصباح.
"لقد كانت حالة طوارئ واسعة النطاق للشركة" ، يتذكر غيمنس أ. - قام محترفو تقنية المعلومات بالفعل بفصل الشبكة والخوادم لتجنب المزيد من التوزيع. لكننا لم نفهم تماما ما كان يحدث ".
سرعان ما أصبح اسم الفيروس معروفًا: LockerGoga ، أحد الأشكال المختلفة لبرنامج الفدية. قام بتشفير الملفات على أجهزة كمبيوتر سطح المكتب وأجهزة الكمبيوتر المحمولة والخوادم في جميع أنحاء الشركة وعرض رسالة طلب فدية.
"مرحبا! - اقرأ الرسالة. - يتم تشفير ملفاتك باستخدام أقوى الخوارزميات العسكرية. لدينا فقط وحدة فك ترميز لفك تشفير بياناتك. "
في الرسالة ، طلبت الشركة فدية في عملات البيتكوين وحذرت: "السعر النهائي يعتمد على مدى سرعة الاتصال بنا."
في اجتماع طارئ ، اتخذت Norsk Hydro management ثلاثة قرارات تشغيلية: لا تدفع الفدية ، واتصل بفريق الأمن السيبراني من Microsoft للمساعدة في استعادة الأنظمة ، وكن منفتحًا تمامًا بشأن هذا الحادث.
وأشاد خبراء الأمن من جميع أنحاء العالم بالثالث من هذه الحلول لأنها تتعارض مع الممارسة المعتادة للعديد من المنظمات التي تخفي معلومات القرصنة.
أجرى كبار المسؤولين البث الشبكي يوميًا وأجابوا على الأسئلة. أجرى المدراء التنفيذيون مؤتمرات صحفية يومية في مقر أوسلو ، ونشروا أخبارًا على Facebook ، ودعوا المراسلين إلى مواقع الإنتاج ، وحتى أطلقوا موقعًا جديدًا للشركة على الويب للأسبوع الأول بعد اكتشاف الهجوم.
Ransomware مهاجمة نورسك هيدرو.
وقال هالفور مولاند ، نائب الرئيس الأول للعلاقات الإعلامية: "الشفافية هي أساس ثقافة نورسك هيدرو". من خلال نشر المعلومات بصدق وسرعة حول ما يحدث ، سعت الشركة ، على وجه الخصوص ، إلى انتهاك تكتيكات الظل لمجرمي الإنترنت ، وربما لمنع تهديدات مماثلة.
قال مولاند: "أردنا مساعدة الآخرين على التعلم من تجاربنا". "لذلك سيكون الناس قادرين على الاستعداد بشكل أفضل لمثل هذه المواقف وعدم المرور بما يجب علينا المرور به."
في الساعات الأولى من الحادث ، طلب Norsk Hydro المساعدة من فريق
الكشف والاستجابة من Microsoft (DART) ، الذي يسافر إلى مكان الحادث لدعم الشركات التي تتعرض للهجوم وإجراء تحقيقات عن بُعد.
يقول جيم ميلر ، وهو عضو في DART ومتخصص في الهجوم السيبراني: "لقد تم تعيين هذه الحالة على مستوى الجدية القصوى". تم إرسال ميلر إلى المجر ، في بلدة صغيرة بالقرب من بودابست ، حيث يقع أحد أكبر مصانع الألمنيوم نورسك هيدرو. تم ترك الإنتاج هناك دون الوصول إلى خدمات الشبكة.
واحد من العديد من المؤتمرات الصحفية Hydro التي عقدت خلال الهجوم.
أمضى ميلر ثلاثة أسابيع في المجر ، حيث أنشأ فريقًا من المهندسين والمهندسين المعماريين الإقليميين. ووفقا له ، كانت المهمة الأولية للفريق هي مساعدة الشركة على استعادة واستئناف العمليات والخدمات التجارية. طار أعضاء DART الآخرين إلى أوسلو. "تحت قيادتنا ، تمكنت Norsk Hydro من إزالة الفجوة التي تمكن المهاجم من شن هجوم عليها" ، يقول ميلر.
لقد درسوا فيروس LockerGoga Ransomware ، الذي
هاجم أيضًا
شركة الهندسة والاستشارات Altran Technologies في فرنسا وشركتين صناعيتين أمريكيتين - Hexion في Ohio و Momentive في نيويورك.
وفقًا لـ Gimnes Are ، في أوسلو ، وجدت مجموعة من المحققين الشرعيين المتفرغين والمستقلين أنه في ديسمبر 2018 ، استخدم المتسللين ملفًا واحدًا مرفقًا كسلاح عبر الإنترنت أرسله موظف من عميل كان يُعتبر موثوقًا به لأحد موظفي Norsk Hydro أثناء مراسلات البريد الإلكتروني العادية.
"لقد تضمنت تعليمات لتركيب طروادة على جهاز كمبيوتر الموظف Hydro في هذا المرفق ،" قال Guimnes Are. - اكتشف برنامج مكافحة الفيروسات لدينا برنامج طروادة هذا بعد بضعة أيام. ولكن كان بالفعل بعد فوات الأوان. بحلول ذلك الوقت ، كان الفيروس راسخًا بالفعل في النظام ".
وقال ميلر إنه في البداية أضعف الفيروس المستخدمين العاديين لشبكة الكمبيوتر Norsk Hydro ، ثم استولى على بيانات اعتماد المسؤول ، والتي سمحت للمتسللين بإدارة البنية التحتية لتكنولوجيا المعلومات بالكامل.
"عندما سيطر المهاجمون على البيئة ، قرروا توزيع الفدية من خلال التوزيع اليدوي من وحدات تحكم المجال Norsk Hydro" ، قال ميلر.
وقال ميلر: "كان هذا مثالًا آخر على استراتيجية حديثة تستخدم فيها مجموعة مهاجمة تهديدًا مستمرًا مستمرًا (
التهديد المستمر المتواصل ، APT) لتقديم برامج ضارة أخرى على أمل تحقيق تسييل أسرع بتكلفة أقل".
ومع ذلك ، لم تنوي Norsk Hydro دفع عملة بيتكوين واحدة للمتسللين أو التفاوض على استرداد الملفات المقفلة. بدلاً من ذلك ، قررت الشركة استرداد بياناتها باستخدام خوادم النسخ الاحتياطي الموثوقة.
"ماذا ستحصل إذا دفعت فدية في مثل هذا الموقف؟" طلب جيمنس. - ربما تقوم بإرجاع البيانات المشفرة إذا أعطاك المهاجم المفتاح. لكن إعادة الشراء لن تساعدك على استعادة البنية الأساسية للشركة: جميع الخوادم ، وجميع أجهزة الكمبيوتر ، وجميع الشبكات. "
"الفدية لن تساعدك على الخروج من الموقف. ستحتاج إلى إعادة بناء البنية الأساسية الخاصة بك للتأكد من أن المهاجم لم يبق فيها ".
إريك دير هو المدير العام
لمركز الاستجابة الأمنية في Microsoft . يحمي هذا المركز العملاء من التلف بسبب الثغرات الأمنية في أنظمة الأمان الخاصة بمنتجات وخدمات Microsoft ، كما يعكس بسرعة الهجمات على Microsoft Cloud. يشجع Derr بشدة منظمات الهجوم السيبراني على أن تكون مفتوحة قدر الإمكان فيما يتعلق بالحوادث.
"لقد وضع نورسك هيدرو مثالاً للجميع في الاستجابة للحوادث" ، قال دير. - عدم دفع الفدية واستخدام DART لمعرفة الموقف من أجل طرد المتسللين هو حل ممتاز. تبادل المعرفة المكتسبة مع العالم لا يقدر بثمن. عندما تفعل الشركات هذا ، يجعلنا جميعًا أفضل ويجعل المهاجمين يعملون بجد أكبر. "
"بالطبع ، قد يتم إغراء بعض الشركات التي تواجه هجمات الفدية بدفع أموال للمهاجمين لإرجاع البيانات المسروقة. وقالت آن جونسون ، نائبة رئيس شركة مايكروسوفت لحلول الأمن السيبراني ، التي يشرف فريقها على DART ، إن دفع فدية للمتسللين لا يضمن أن الشركة ستتمكن من استرداد الخسائر.
يقول جونسون: "هناك طريقة أكثر ذكاءً - اتبع خطة نورسك هيدرو". - بياناتك هي رصيد استراتيجي لك ولمجرمي الإنترنت. لهذا السبب يريد المتسللون الحصول على بياناتك. لهذا السبب يجب حماية بياناتك وتخزينها كنسخ احتياطية ".
"في الوقت نفسه ، يجب على الشركات الاستثمار في الأمن السيبراني" ، كما تؤكد.
وقال مولاند ، نائب رئيس العلاقات الإعلامية: "في نورسك هيدرو ، يعمل قسم تكنولوجيا المعلومات على رفع الوعي الأمني بين موظفيها". يتضمن ذلك إرسال رسائل بريد إلكتروني تجريبية للعمال لمساعدتهم في التعرف على
حيل الخداع الشائعة ، مثل صفحات تسجيل الدخول المزيفة والمرفقات الضارة.
وحذر جونسون قائلاً: "إذا لم تهتم الشركة بما فيه الكفاية بالأمن السيبراني ، فسيصبح المهاجمون" زبائنها الدائمين ".
"على الأرجح ، رأيت لافتات في مقاهي الشوارع تقول" لا تطعم الطيور ". إذا تم إطعام الطيور ، فسوف يعودون إلى حيث وجدوا أنه من السهل الحصول على الطعام. يقول جونسون إن نفس المفهوم ينطبق على مجرمي الإنترنت. "إذا علموا أن لديك حماية ضعيفة ، فسيستخدمون نقاط الضعف هذه مرارًا وتكرارًا."
"أفضل دفاع هو المزيج الصحيح من الإجراءات والعمليات والتقنيات البشرية. نوصي بتنفيذ المصادقة متعددة العوامل ، وعملية التحديث القوية ، والنسخ الاحتياطي للبيانات ".
يعمل الموظفون في مصنع Norsk Hydro في النرويج مع السجلات الورقية لتنفيذ طلبات العملاء يدويًا أثناء الهجوم السيبراني.
في مارس الماضي ، في المجر والنرويج ، ساعد أعضاء DART Norsk Hydro على تطوير إجراءات آمنة لاستعادة الخوادم مع إعدادات الأمان المحسنة. وفقًا لميلر ، قاموا أيضًا بتعريف الشركة بالتهديدات الحالية والسلوك المعروف للمهاجمين للمساعدة في تقليل مخاطر الهجمات المستقبلية.
في نورسك هيدرو ، تم إجراء العمل الداخلي بعد الحادث على عدة جبهات. تحولت الشركة إلى الأساليب القديمة من أجل استئناف الإنتاج الكامل واستعادة العمليات التجارية. بالإضافة إلى ذلك ، عملوا لضمان سلامة الموظفين والبيئة.
"نحن نقود المعدات الثقيلة. وقال مولاند ، نائب رئيس العلاقات الإعلامية: إذا فقدنا السيطرة عليها ، فستعرض سلامة الناس للخطر وقد تؤدي إلى حوادث خطيرة. - الأمن هو دائما أهم شيء بالنسبة لنا. في المقام الثاني ، الاهتمام بالبيئة ومنع الانبعاثات غير المنضبط في الغلاف الجوي والتربة والمياه بسبب توقف الماكينة المفاجئ. "
قام المسؤولون التنفيذيون بتحذيرات مكتوبة بخط اليد من هجوم سيبراني ، وصُوروا على الهواتف الذكية وأرسلوها إلى مديري محطات ومكاتب نورسك هيدرو حول العالم. قام الموظفون الميدانيون بطباعة الإعلانات الورقية في محلات الطباعة المحلية وعلّقوها على السلالم ورحلات الدرج والمصاعد حتى يتمكن الموظفون من قراءتها عند وصولهم إلى العمل.
"الرجاء عدم توصيل أي أجهزة بشبكة Hydro. لا تقم بتشغيل أي أجهزة متصلة بشبكة Hydro. يرجى فصل الأجهزة عن شبكة Hydro ، "اقرأ التحذيرات بتوقيع بسيط:" خدمة الأمن ".
يقوم عمال مصنع Hydro في بورتلاند بتشغيل المعدات يدويًا لتلبية طلبات العملاء خلال المرحلة الأولية من الهجوم السيبراني.
عمل جميع الأفراد في الأيام الأولى بعد اكتشاف الهجوم على سجلات ورقية. تحولت بعض المصانع إلى التحكم اليدوي لتلبية طلبات الإنتاج. عاد الموظفون المتقاعدون المطلعون على نظام الورق القديم طوعًا إلى مصانعهم لدعم الإنتاج.
وقال مولاند "الطريقة التي اجتمعنا بها للتغلب على الموقف والعودة إلى الإنتاج كانت تدريبًا مكثفًا على بناء الفريق".
وأضاف أن "شركتنا لديها منهجية منظمة للتأهب لحالات الطوارئ تحدد الإجراءات على مستوى الشركات ، في قطاع الأعمال وعلى مستوى المصنع". "لقد عملت لصالحنا". عندما تعرضنا للضرب ، تمكنا من التعامل بشكل بناء ومنتظم مع الوضع ".
يقول جو دي وليجر ، مدير تكنولوجيا المعلومات في شركة نورسك هيدرو: "بعبارة أخرى ، تعتبر الوقاية مهمة ، ولكن يجب ألا يكون منع جميع المهاجمين هو الأولوية الأمنية الوحيدة للشركة".
"إذا أراد المتسللون الدخول إلى الداخل ، فسيقومون بذلك" ، قال دي وليجر. "لدينا الآن نظام مُحسّن للاستجابة للحوادث ، وإذا حدث ذلك مرة أخرى ، فسنكون أكثر استعدادًا للحد من الأضرار بمرور الوقت والأراضي".
قامت نورسك هيدرو بإبلاغ مصلحة التحقيقات الجنائية الوطنية النرويجية (Kripos) بالحادث. يقول مولاند: "التحقيق مستمر".