挪威奥斯陆。 电话是凌晨4点。 索尔斯坦·吉姆尼斯(Thorstein Gimnes)惊慌失措地回答黎明前的钟声。 在对话者说了几句话之后,恐惧就加剧了。
全球最大的铝业公司之一,来电IT专家
Norsk Hydro说:“他们似乎在攻击我们。” 它的170家工厂中有一部分已经停产。 其他对象从计算机控制切换为手动。
在挪威一家挤压厂的控制室。 袭击发生后,水电公司暂时中止了欧洲和美国几家工厂的生产。
坏消息。 然后情况变得更糟。
去年3月,安全系统遭到黑客入侵,最终影响了Norsk Hydro的所有人:遍布40个国家/地区的3.5万名员工。 数以千计的服务器和个人计算机上的文件被锁定。 财务损失接近7100万美元
这一切始于三个月前,当时一名员工打开了来自受信任客户端的受感染电子邮件。 这使黑客能够渗透到IT基础架构中并秘密地传播其病毒。
挂断电话后,Norsk Hydro负责信息安全的GuimnésAre立即打电话给应急准备服务负责人,并于当日早上拨打了紧急电话。
Guimnes Are回忆说:“这是公司范围内的紧急情况。” -IT专业人员已经断开网络和服务器的连接,以避免进一步分发。 但是我们不太了解发生了什么。”
很快,该病毒的名称就为人所知:LockerGoga,勒索软件程序的变体之一。 他对整个公司的台式计算机,便携式计算机和服务器上的文件进行了加密,并显示了赎金请求消息。
“欢迎光临! -阅读消息。 -您的文件使用最强大的军事算法加密。 只有我们有一个解码器来解密您的数据。”
在消息中,该公司要求赎金,并警告:“最终价格取决于您与我们联系的速度。”
在一次紧急会议上,Norsk Hydro管理层做出了三项运营决策:不支付赎金,致电Microsoft网络安全团队以帮助恢复系统,并就此事件完全公开。
这些解决方案中的第三个
受到世界各地的安全专家的
称赞 ,因为它违反了许多隐藏黑客信息的组织的常规做法。
高级官员每天进行网络广播并回答问题。 高管们每天在奥斯陆总部举行新闻发布会,在Facebook上发布新闻,邀请记者参观生产设施,甚至在发现袭击事件后的第一周就启动了新的公司网站。
勒索软件攻击Norsk Hydro。
“透明度是挪威水电文化的基础,”媒体关系高级副总裁Halvor Molland说。 通过诚实,及时地发布有关正在发生的事情的信息,该公司尤其寻求违反网络犯罪分子的影子策略,并可能防止类似的威胁。
“我们想帮助其他人从我们的经验中学习,”莫兰德说。 “因此人们将能够更好地为这种情况做准备,而不必经历我们必须经历的事情。”
在事件的早期,Norsk Hydro向Microsoft
检测和响应团队 (DART)寻求帮助,该
团队前往现场以支持受攻击的公司并进行远程调查。
DART成员和网络攻击专家吉姆·梅勒(Jim Meller)说:“此案已被指定为最高严重级别。” 梅勒(Meller)被送到匈牙利布达佩斯附近的一个小镇,匈牙利最大的铝厂Norsk Hydro所在。 那里的生产无法访问网络服务。
袭击发生期间举行的众多水电新闻发布会之一。
梅勒(Meller)在匈牙利呆了三周,建立了一支由区域工程师和建筑师组成的团队。 据他介绍,团队的最初任务是帮助公司恢复和恢复业务运营和服务。 其他DART成员飞往奥斯陆。 “在我们的领导下,Norsk Hydro能够消除攻击者能够发起攻击的差距,” Meller说。
他们研究了LockerGoga勒索软件病毒,该病毒还
攻击了法国
的工程和咨询公司Altran Technologies和两家美国工业公司-俄亥俄州的Hexion和纽约的Momentive。
据奥斯陆的Gimnes Are称,一群专职和自由职业的法医调查人员发现,2018年12月,黑客使用一个附加文件作为客户发送的网络武器,该客户在定期电子邮件通信中被视为对Norsk Hydro员工可靠。
Guimnes Are说:“该附件中包括在Hydro员工的计算机上安装Trojan的说明。” -几天后,我们的防病毒软件检测到了该木马程序。 但这已经为时已晚。 到那时,该病毒已经在系统中根深蒂固。”
梅勒说,病毒最初会危害Norsk Hydro计算机网络的普通用户,然后夺取管理员凭据,从而使黑客能够管理整个IT基础架构。
“当攻击者获得环境控制权后,他们决定通过Norsk Hydro域控制器的手动分发来分发勒索软件,” Meller说。
梅勒说:“这是近期策略的另一个例子,当攻击组织使用持续不断的威胁(
Advanced Persistent Threat,APT)引入另一种恶意软件时,希望以较低的成本更快地获利。”
但是,Norsk Hydro并没有打算向黑客支付任何比特币,也不打算就锁定文件的恢复进行谈判。 相反,该公司决定使用可靠的备份服务器恢复其数据。
“如果在这种情况下支付赎金,您会得到什么?” 金妮斯问。 -如果攻击者提供了密钥,也许您将返回加密的数据。 但是回购并不会帮助您恢复公司的基础架构:所有服务器,所有计算机,所有网络。”
“赎金不会帮助您摆脱困境。 他补充说,您将需要重建基础架构,以确保攻击者不会留在其中。
Eric Derr是
Microsoft安全响应中心的总经理。 该中心可保护客户免受Microsoft产品和服务安全系统中的漏洞所造成的损害,并快速反映对Microsoft Cloud的攻击。 Derr强烈鼓励网络攻击组织对事件尽可能开放。
“诺斯克水电为每个人树立了榜样,” Derr说。 -不支付赎金,使用DART找出情况以驱逐入侵者是一个很好的解决方案。 与世界分享获得的知识是无价的。 当公司这样做时,它会使我们所有人都变得更好,并使攻击者更加努力。”
“当然,一些面临勒索软件攻击的公司可能会倾向于向攻击者付款,以返回被盗的数据。 微软负责网络安全解决方案的公司副总裁安·约翰逊(Ann Johnson)说,但是向黑客支付赎金并不能保证该公司将能够挽回损失。
约翰逊说:“有一个更聪明的方法-遵循Norsk Hydro计划。” -您的数据对于您和网络罪犯都是一项战略资产。 这就是为什么黑客想要获取您的数据。 这就是为什么您的数据必须受到保护并作为备份存储的原因。”
她强调:“与此同时,公司应在网络安全方面进行投资。”
“在Norsk Hydro,IT部门正在努力提高其员工的安全意识,”媒体关系副总裁Molland说。 这包括向员工发送测试电子邮件,以帮助他们识别
常见的网络钓鱼技巧 ,例如假登录页面和恶意附件。
约翰逊警告说:“如果一家公司对网络安全没有给予足够的重视,那么攻击者将成为其“常规客户”。
“最有可能的是,您在街头咖啡馆看到的标语是“不要喂鸟。” 如果给鸟喂食,它们将返回发现食物容易的地方。 约翰逊说,同样的概念适用于网络犯罪分子。 “如果他们知道您的保护薄弱,他们将一再使用这些弱点。”
“最好的防御是人类行动,流程和技术的正确结合。 “我们建议实施多因素身份验证,可靠的更新过程和数据备份,”她补充道。
挪威Norsk Hydro工厂的员工使用纸质记录来在网络攻击期间手动执行客户订单。
去年三月,在匈牙利和挪威,DART成员帮助Norsk Hydro开发了安全程序,用于通过改进的安全设置恢复服务器。 根据Meller的说法,他们还使公司熟悉了攻击者的现有威胁和已知行为,以帮助降低将来遭受攻击的风险。
事件发生后,在Norsk Hydro,内部工作在多个方面进行。 该公司改用旧方法以恢复成熟的生产并恢复业务运营。 此外,他们还努力确保员工的安全和环境。
“我们驾驶重型设备。 媒体关系副总裁莫兰德说:“如果我们对此失去控制,它将危害人们的安全,并可能导致严重事件。” -安全永远是我们最重要的事情。 其次是对环境的关注,以及防止由于突然的机器停止而向大气,土壤和水中的不受控制的排放。”
高管们手写了有关网络攻击的警告,并在智能手机上拍照,并将其发送给了Norsk Hydro工厂和全球办事处的经理。 现场工作人员在当地印刷店印刷纸质广告,并将其挂在门廊,楼梯和电梯上,以便工作人员上班时可以阅读它们。
“请不要将任何设备连接到Hydro网络。 请勿打开连接到水电网络的任何设备。 请断开设备与水电网络的连接,“阅读带有简单签名的警告:“安全服务”。
波特兰的水利工厂工人在网络攻击的初始阶段手动操作设备来履行客户订单。
在发现攻击后的第一天,所有人员都进行纸质记录。 一些工厂改用手动控制来满足生产订单。 熟悉旧纸张系统的退休员工自愿返回工厂支持生产。
莫兰德说:“我们团结起来克服困境并重新投入生产的方式就是进行极端的团队建设培训。”
他补充说:“我们公司有组织的应急准备方法,该方法定义了公司,业务部门和工厂级别的行动。” “它对我们有利。” 当我们受到打击时,我们能够建设性地,有条不紊地应对局势。”
“换句话说,预防很重要,但阻止所有攻击者不应成为公司唯一的安全重点,” Norsk Hydro的IT主管Joe De Wliger说。
De Wliger说:“如果黑客想要进入内部,他们会这么做。” “我们现在有了一个改进的事件响应系统,如果再次发生这种情况,我们将做好更好的准备来限制随时间和领土的破坏。”
挪威水电公司将该事件报告给了挪威国家刑事调查局(Kripos)。 “调查仍在进行中,”莫兰德说。