Кибератака на Colonial Pipeline

Кибератака на Colonial Pipeline (7 мая 2021 года) — атака вредоносного ПО на американскую трубопроводную систему Colonial Pipeline[1][2][3]. Атака остановила работу всех трубопроводов системы на пять дней[lower-alpha 1][5][6][7][8]. В результате атаки президент США Джо Байден объявил чрезвычайное положение[9][10]. По оценкам прессы, это «крупнейшая успешная кибератака на нефтяную инфраструктуру в истории страны». Источники сообщают, что атака была совершена хакерской группой DarkSide[11]. Считается, что за день до атаки та же группа похитила 100 гигабайт данных с серверов компании[12].

Общая обстановка

Трубопроводная система Colonial Pipeline доставляет бензин, дизельное топливо и авиакеросин из Техаса в Нью-Йорк. По этой трубопроводной системе поступает около 45 % всего топлива, потребляемого на Восточном побережье США[3]. Атака произошла на фоне растущей обеспокоенности по поводу уязвимости инфраструктуры для кибератак, возникшей после нескольких громких атак, в том числе взлома SolarWinds в 2020 году, поразившего несколько государственных учреждений, включая Пентагон, Министерство финансов, Государственный департамент и Министерство внутренней безопасности.

Технические предпосылки

Работа трубопровода полностью компьютеризирована. При этом техническая система управления (АСУ ТП) соединена с административной, что открывает потенциальные возможности для проникновения через Интернет, чаще всего, через электронную почту[13]. Именно этой уязвимостью чаще всего пользуются злоумышленники.

Последствия

Спустя несколько суток после приостановки работы трубопровода в прибрежных штатах Юго-Востока США начался дефицит бензина и дизельного топлива[14]. Так, в городской агломерации Шарлотт, крупнейшего города Северной Каролины, 12 мая в связи с нехваткой топлива 71 % АЗС были закрыты[15]. 14 мая 88 % АЗС в Вашингтоне были без бензина[16]. Розничные цены на бензин в США при этом достигли десятилетнего максимума[17]. Ситуация усугубилась из-за панических покупок бензина впрок[16]; некоторые обыватели заливали бензин не только в канистры, но и в совершенно непригодные для этой цели ёмкости, вплоть до пластиковых пакетов[18].

Из-за нехватки авиакеросина, авиакомпания American Airlines была вынуждена временно изменить некоторые рейсы[19].

Топливный дефицит прекратился через несколько суток после возобновления работы трубопровода[20].

Поиск виновных

По данным ФБР, к атаке причастна преступная группировка DarkSide, предположительно базирущаяся в России[13]. Сразу после атаки на сайте группировки[lower-alpha 2] появилось что-то вроде извинения. Не упоминая трубопровод Colonial, а лишь «последние события», на сайте говорится: «Наша цель не создавать проблемы обществу, а получать деньги»[lower-alpha 3][13].

Бостонская компания Cybereason, специализирующаяся на технологиях кибербезопасности, заявила, что DarkSide — организованная группа хакеров, создавших своеобразную бизнес-модель «программы-вымогателя как услуги», то есть хакеры DarkSide разрабатывают и продают инструменты взлома программ-вымогателей заинтересованным лицам, которые затем проводят атаки. Американский кабельный и спутниковый телеканал новостей бизнеса CNBC назвал DarkSide «злым двойником стартапа из Кремниевой долины». Издание цитирует заявление компании, в котором говорится: «Мы аполитичны, мы не участвуем в геополитике, не нужно связывать нас с определённым правительством и искать наши мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества»[21].

Выкуп

По данным исследовательской компании Elliptic, только за период с августа 2020 года по апрель 2021, DarkSide получила с жертв своих атак, по меньшей мере, 90 млн долл. в биткоинах[22].

Руководство Colonial Pipeline заплатило киберпреступникам выкуп в 75 биткоинов (4,5 млн долл. на момент сделки). 14 мая администратор DarkSide опубликовал сообщение, что серверы и криптовалюта группировки были захвачены — предположительно, правоохранительными органами[23]. В начале июня Министерство юстиции США подтвердило, что ФБР конфисковало бо́льшую часть выкупа (63,7 биткоина, на тот момент уже имеющие стоимость всего 2,3 млн долл.) при помощи закрытого ключа от биткоинового «кошелька» киберпреступников[24]. Технические подробности о том, каким образом сотрудники правоохранительных органов получили доступ к закрытому ключу от кошелька, пока не раскрыты[24].

Меры защиты

В конце апреля 2021 года ведущие производители ПО и органы правопорядка образовали международную группу по защите от интернет-вымогательства — Ransomware Task Force (RTF). В группу вошли компании Microsoft и Amazon, а также ФБР и Британское агентство по борьбе с организованной преступностью. Группа представила правительству США доклад, содержащий рекомендации по противодействию интернет-вымогательству[25].

Примечания
Примечания
  1. 12.05.2021 Colonial Pipeline возобновил работу[4].
  2. Размещен в т.н. «темном Интернете».
  3. Как и другие интернет-вымогатели, DarkSide передает свое вредоносное ПО другим преступным группировкам, получая с них долю выкупа, выплаченного жертвой нападения.
Сноски
  1. Bing. Cyber attack shuts down top U.S. fuel pipeline network. Reuters (8 May 2021). Дата обращения: 8 мая 2021.
  2. Segers. Cyberattack prompts major pipeline operator to halt operations. CBS News (8 May 2021). Дата обращения: 8 мая 2021.
  3. Peñaloza. Cybersecurity Attack Shuts Down A Top U.S. Gasoline Pipeline. NPR (8 May 2021). Дата обращения: 8 мая 2021.
  4. Colonial Pipeline: US fuel firm resumes service after cyber-attack, BBC, 13.05.2021
  5. Sanger. Cyberattack Forces a Shutdown of a Top U.S. Pipeline. New York Times (8 May 2021). Дата обращения: 8 мая 2021.
  6. Eaton. U.S. Pipeline Cyberattack Forces Closure. Wall Street Journal (8 May 2021). Дата обращения: 8 мая 2021.
  7. Stracqualursi. Cyberattack forces major US fuel pipeline to shut down. CNN (8 May 2021). Дата обращения: 8 мая 2021.
  8. Colonial Pipeline blames ransomware for pipeline shutdown. NBC News (8 May 2021). Дата обращения: 8 мая 2021.
  9. Suderman. Major US pipeline halts operations after ransomware attack. AP News (8 May 2021). Дата обращения: 8 мая 2021.
  10. Top US pipeline operator shuts major fuel line after cyber attack. The Jerusalem Post (8 May 2021). Дата обращения: 8 мая 2021.
  11. GLORIA GONZALEZ, BEN LEFEBVRE and ERIC GELLER. 'Jugular' of the U.S. fuel pipeline system shuts down after cyberattack, Politico (May 8, 2021). «The infiltration of a major fuel pipeline is "the most significant, successful attack on energy infrastructure we know of."».
  12. Jordan Robertson and William Turton. Colonial Hackers Stole Data Thursday Ahead of Shutdown, Bloomberg News (May 8, 2021).
  13. Colonial hack: How did cyber-attackers shut off pipeline?, BBC, 11.05.2021
  14. Gas Stations Run Dry as Pipeline Races to Recover From Hacking (англ.). Bloomberg (11 мая 2021). Дата обращения: 6 августа 2021.
  15. GasBuddy reports 71% of gas stations without fuel in Charlotte metro amid Colonial Pipeline shutdown (англ.). WBTV (12 мая 2021). Дата обращения: 6 августа 2021.
  16. May’s gas shortages were ‘nothing more than an inconvenience,’ says UH energy economist (англ.). The Cougar (27 мая 2021). Дата обращения: 6 августа 2021.
  17. Panic buying strikes Southeastern United States as shuttered pipeline resumes operations (англ.). The Washington Post (12 мая 2020). Дата обращения: 6 августа 2021.
  18. Officials warn people not to fill plastic bags with gasoline amid panic over gas shortage (англ.). CBS News (14 мая 2021). Дата обращения: 6 августа 2021.
  19. American Airlines adds stops to two flights after pipeline outage (англ.). Reuters (10 мая 2021). Дата обращения: 6 августа 2021.
  20. What Panic-Buyers Have Been Doing With Their Gas Now Shortage Eased (англ.). Newsweek (27 мая 2021). Дата обращения: 6 августа 2021.
  21. Eamon Javers. Here's the hacking group responsible for the Colonial Pipeline shutdown (англ.). cnbc.com. Дата обращения: 12 июля 2021.
  22. Ransomware: Should paying hacker ransoms be illegal?, BBC, 20.05.2021
  23. DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized (англ.). Krebs on Security (14 мая 2021). Дата обращения: 5 августа 2021.
  24. U.S. seizes $2.3 mln in bitcoin paid to Colonial Pipeline hackers (англ.). Reuters (7 июня 2021). Дата обращения: 5 августа 2021.
  25. The ransomware surge ruining lives, BBC, 30.04.2021

Ссылки
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.