IT業界社群及資訊平台

【經典教材】世界最大製鋁企業 Hydro VS 網絡綁匪 FIN6

Norsk Hydro ASA,全球最大既鋁金屬生產商,市值高於 550 億美元,業務與廠房遍及全球 50 個國家,員工數目超過 35,000。2019 年 3 月 19 日奧斯陸零晨,這家挪威企業被黑客入侵,匈牙利營運中心職員察覺後,馬上按照保安程序將整個企業斷網, 但黑客係短短兩個鐘,已經「綁架」咗 Hydro 500 個 Server 加 2,700 部電腦,受感染電腦屏幕一致閃著 “Greetings! There was a significant flaw in the security system of your company. You should be thankful the flaw was exploited by serious people and not some rookies. They would have damaged all your data by mistake or for fun.”態度相當輕挑,接住交代贖金 In Bitcoin 的交收形式,限期內收唔到錢,解鎖條 Encryption Key 就 Bye Bye。

一如尋常跨國企業,Hydro 的資訊保安絕非馬虎,仲定時搵白帽黑客測試系統漏洞,但今次遇著高手。執法機構至今仍未鎖定對方身份,資安研究團隊憑 Hydro 感染的 Malware LockerGoga,推斷落手的黑客組織為活躍於東歐金融詐騙黑客旅團 FIN6。有別於一般勒索黑客的入侵路徑,FIN6 先精準地黑入 Hydro 的意大利客戶電郵,在雙方日常溝通的電郵 Attach Malware,迴避資安系統並輕取員工信任,結果客服員工於 2018 年 12 月 3 日 Double Click 客戶 Email 的 Attachment 啟動了 Malware,讓黑客成功黑入 Hydro 系統,對方還相當有耐性,螫伏至 3 月才發動襲擊。

斷網後,除了 35,000 名員工不能登陸企業聯網,Hydro 需要緊急關閉歐洲與美國的幾間工廠,其餘照常生產的工廠則改為全人手操作,生產效益倒退 30 年。咁嘅情況,交贖金係個合理解脫,不過大型企業面對網絡綁匪,不能輕易妥協,因為黑客收到 Bitcoin 後消失實在太簡單,而一旦交贖金件事揚咗,亦肯肯定惹來更多黑客。Hydro 的 Chief Information Officer Jo De Vliegher 大膽建議由零開始,重建企業資訊網絡與保安系統,過渡期靠古代 PC、Fax、Post-it 等舊世界產物撐住,直至徹底消毒整個系統,更換所有受感染的電子設備為止。資安專家讚賞 Hydro 決心,因為組織越大,漏洞越多,相對如何完美防範黑客,大企業更實際的 Game Plan 是如何修復黑客攻擊。

斷網後第一步,De Vliegher 立即在 Microsoft 找來 5 位專家,評估破壞程度,員工以手寫紙條貼在辦公室所有門,提醒員工使用手機時,切勿使用公司網絡,之後 Communication Team 以個人手機與網絡在 Hydro 官方 Facebook 發表最新通知。位於美國賓夕凡尼亞的 Cressona 鋁廠房,客戶包括 Tesla 與 Ford 等大車廠,受襲前高度自動化,電腦控制 5 萬個模具嘅生產線 24 小時運作。受襲後,員工立即打印所有生產設計文件,銷售人員奔走於作戰室與工廠間傳送客戶訂單,工人則要回歸原始按章調動模具,會計要以 Fax 方式付帳。

另一邊廂,總部設立了 War Room 重設整個 Network,見過鬼怕黑,所以要做到滴水不漏,War Room 只限有關人士進出,清潔姐姐都無 Access,在內的要員要在惡劣衛生情況下作戰。重設計畫開首特別困難,Hydro 用了三星期時間,先至係全美國 Setup 到 4 部電腦。歐洲區域則由法國員工裝機,然後親自運送到各支部,大家好似毒販咁係無人荒野 0 油站交收,全程由員工監察,確保電腦無機會畀人做手腳。全 Manual 運作下,Hydro 甚至要動用食緊長俸的退休員工,幫忙處理文書。截至今日,Hydro 估計損失約 6 千萬美元,保險僅賠償 3 百萬美元,即 5%,而直至現時為止,Hydro 仍未 100%修復整個系統。不過企業 CEO重申,對比企業完全停止運作要倒閉,呢個代價已經算平。

資料來源:https://bloom.bg/39xRMsk

唔想錯過熱門網絡保安消息,請即訂閱 wepro180 電子周報:https://bit.ly/2ZcCi9J