Tài khoản "zombie" của nhân viên cũ khiến hacker chiếm quyền kiểm soát hệ thống nước sạch

Tài khoản "zombie" của nhân viên cũ khiến hacker chiếm quyền kiểm soát hệ thống nước sạch

Việc không vô hiệu hóa tài khoản của một nhân viên cũ đã dẫn đến hậu quả nghiêm trọng khi hacker chiếm được quyền kiểm soát hệ thống cấp nước của một thành phố. Vụ việc nhấn mạnh tầm quan trọng của việc quản lý tài khoản và rủi ro của việc tái sử dụng mật khẩu.

Chào mừng quay trở lại với chuyên mục PWNED, nơi chúng ta soi chiếu những sai lầm trong an ninh mạng dưới ánh đèn đỏ chói lọi. Câu chuyện buồn tuần này liên quan đến một chính quyền địa phương đã thất bại trong việc quản lý tài khoản cơ bản và phải trả giá đắt cho sự lơ là đó.

Câu chuyện về những bước đi sai lầm trong công nghệ này được chia sẻ bởi Nicole Beckwith, Giám đốc Kỹ thuật An ninh và Vận hành tại Cribl. Trước đây, bà từng làm tư vấn viên và được thuê để điều tra các vụ vi phạm trong mạng lưới của một thành phố tại Mỹ.

Một tác nhân đe dọa đã thực hiện một "tour du lịch nhàn nhã" qua các tài nguyên trực tuyến của thành phố, bắt đầu bằng việc can thiệp vào máy chiếu trong phòng họp và các thiết bị đầu cuối tương đối vô hại khác. Tuy nhiên, sau đó họ nhận ra rằng mình có thể thay đổi cài đặt tại cơ sở cấp nước, nơi họ đã tắt nhiều điều khiển, tiềm ẩn nguy cơ đe dọa nguồn cung cấp nước.

Khi Beckwith điều tra, bà phát hiện ra rằng tất cả các hành vi phá hoại này đều được thực hiện bởi một tài khoản thuộc về "Greg từ bộ phận Kiểm toán". Chỉ có một vấn đề duy nhất: Greg đã không làm việc cho thành phố này trong nhiều năm.

Thật không may, mặc dù Greg không còn ở đó, tài khoản của anh ta vẫn tồn tại và giữ lại các quyền hạn rộng lớn, bao gồm quyền quản trị miền (domain admin), quyền truy cập nhà khai thác SCADA (Hệ thống kiểm soát và thu thập dữ liệu giám sát), và thậm chí là khả năng thực hiện các chức năng của bộ phận hỗ trợ kỹ thuật. Không rõ liệu nhân viên kiểm toán có thực sự cần mức độ truy cập này hay không, nhưng một nhân viên cũ chắc chắn thì không.

Không phải chính Greg đã tấn công mạng lưới này. Tuy nhiên, anh ta đã sử dụng email công việc để đăng ký các tài khoản trực tuyến khác nhau, một số trong số đó có thể đã bị lộ trong các vụ rò rỉ dữ liệu trước đây. Beckwith suy đoán rằng những kẻ hack đã nhìn thấy một địa chỉ email có đuôi .gov và quyết định thử vận may với mật khẩu bị rò rỉ đi kèm với nó. Greg có khả năng đã sử dụng cùng một mật khẩu cho công việc và các dịch vụ bên ngoài này.

Chúng ta có thể rút ra một số bài học từ đây. Thứ nhất, những người phụ trách an ninh CNTT của thành phố nên xóa tài khoản của Greg ngay khi anh ta rời đi và thực hiện các cuộc kiểm tra định kỳ để xem ai có quyền truy cập và họ có nên tiếp tục giữ quyền đó hay không.

Thứ hai, Greg nên giữ thông tin đăng nhập công việc tách biệt với các dịch vụ bên thứ ba như các trang mua sắm và mạng xã hội. Và anh ta không nên sử dụng cùng một mật khẩu ở nhiều nơi.

"Bài học, ngoài điều hiển nhiên là 'làm ơn, vì tình yêu của mọi thứ thiêng liêng, hãy kiểm toán các tài khoản không hoạt động của bạn', là rằng mọi người dùng bị lãng quên đều là tấm vé dễ dàng để xuất hiện trên bản tin thời sự 5 giờ," Beckwith nói với The Register. "Việc xem xét quyền truy cập hàng quý là bắt buộc vì mọi người dường như nghĩ rằng khi người dùng rời đi, đó là kết thúc của mọi thứ và chắc chắn ai đó đã chấm dứt quyền truy cập, hủy cấp phát tài khoản, xóa quyền truy cập vào các công cụ, truyền thông di động, email và các hệ thống kinh doanh quan trọng khác, nhưng thật buồn là tôi đã phải xử lý quá nhiều sự cố như thế này vì một biện pháp kiểm soát đơn giản thường bị bỏ qua."