Кибератака на Colonial Pipeline

Кибератака на Colonial Pipeline — атака вредоносного ПО на американскую трубопроводную систему Colonial Pipeline[1][2][3], случившаяся 7 мая 2021 года. Атака остановила работу всех трубопроводов системы на пять дней[a][5][6][7][8]. В результате атаки президент США Джо Байден объявил чрезвычайное положение[9][10]. По оценкам прессы, это «крупнейшая успешная кибератака на нефтяную инфраструктуру в истории страны». Источники сообщают, что атака была совершена хакерской группой DarkSide[11]. Считается, что за день до атаки та же группа похитила 100 гигабайт данных с серверов компании[12].

СправкаПравить

Трубопроводная система Colonial Pipeline доставляет бензин, дизельное топливо и авиакеросин из Техаса в Нью-Йорк. По этой трубопроводной системе поступает около 45 % всего топлива, потребляемого на Восточном побережье США[3]. Атака произошла на фоне растущей обеспокоенности по поводу уязвимости инфраструктуры для кибератак, возникшей после нескольких громких атак, в том числе взлома SolarWinds в 2020 году, поразившего несколько государственных учреждений, включая Пентагон, Министерство финансов, Государственный департамент и Министерство внутренней безопасности.

Технические предпосылкиПравить

Работа трубопровода полностью компьютеризирована. При этом техническая система управления (АСУ ТП) соединена с административной, что открывает потенциальные возможности для проникновения через Интернет, чаще всего, через электронную почту[13]. Именно этой уязвимостью чаще всего пользуются злоумышленники.

ПоследствияПравить

Спустя несколько суток после приостановки работы трубопровода в прибрежных штатах Юго-Востока США начался дефицит бензина и дизельного топлива[14]. Так, в городской агломерации Шарлотт, крупнейшего города Северной Каролины, 12 мая в связи с нехваткой топлива 71 % АЗС были закрыты[15]. 14 мая 88 % АЗС в Вашингтоне были без бензина[16]. Розничные цены на бензин в США при этом достигли десятилетнего максимума[17]. Ситуация усугубилась из-за панических покупок бензина впрок[16]; некоторые обыватели заливали бензин не только в канистры, но и в совершенно непригодные для этой цели ёмкости, вплоть до пластиковых пакетов[18].

Из-за нехватки авиакеросина, авиакомпания American Airlines была вынуждена временно изменить некоторые рейсы[19].

Топливный дефицит прекратился через несколько суток после возобновления работы трубопровода[20].

Поиск виновныхПравить

По данным ФБР, к атаке причастна преступная группировка DarkSide, предположительно базирущаяся в России[13]. Сразу после атаки на сайте группировки[b] появилось что-то вроде извинения. Не упоминая трубопровод Colonial, а лишь «последние события», на сайте говорится: «Наша цель не создавать проблемы обществу, а получать деньги»[c][13].

Бостонская компания Cybereason, специализирующаяся на технологиях кибербезопасности, заявила, что DarkSide — организованная группа хакеров, создавших своеобразную бизнес-модель «программы-вымогателя как услуги», то есть хакеры DarkSide разрабатывают и продают инструменты взлома программ-вымогателей заинтересованным лицам, которые затем проводят атаки. Американский кабельный и спутниковый телеканал новостей бизнеса CNBC назвал DarkSide «злым двойником стартапа из Кремниевой долины». Издание цитирует заявление компании, в котором говорится: «Мы аполитичны, мы не участвуем в геополитике, не нужно связывать нас с определённым правительством и искать наши мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества»[21].

ВыкупПравить

По данным исследовательской компании Elliptic, только за период с августа 2020 года по апрель 2021, DarkSide получила с жертв своих атак, по меньшей мере, 90 млн долл. в биткоинах[22].

Руководство Colonial Pipeline заплатило киберпреступникам выкуп в 75 биткоинов (4,5 млн долл. на момент сделки). 14 мая администратор DarkSide опубликовал сообщение, что серверы и криптовалюта группировки были захвачены — предположительно, правоохранительными органами[23]. В начале июня Министерство юстиции США подтвердило, что ФБР конфисковало бо́льшую часть выкупа (63,7 биткоина, на тот момент уже имеющие стоимость всего 2,3 млн долл.) при помощи закрытого ключа от биткоинового «кошелька» киберпреступников[24]. Технические подробности о том, каким образом сотрудники правоохранительных органов получили доступ к закрытому ключу от кошелька, пока не раскрыты[24].

Меры защитыПравить

В конце апреля 2021 года ведущие производители ПО и органы правопорядка образовали международную группу по защите от интернет-вымогательства — Ransomware Task Force (RTF). В группу вошли компании Microsoft и Amazon, а также ФБР и Британское агентство по борьбе с организованной преступностью[en]. Группа представила правительству США доклад, содержащий рекомендации по противодействию интернет-вымогательству[25].

ПримечанияПравить

КомментарииПравить

  1. 12.05.2021 Colonial Pipeline возобновил работу[4].
  2. Размещен в т.н. «темном Интернете».
  3. Как и другие интернет-вымогатели, DarkSide передает свое вредоносное ПО другим преступным группировкам, получая с них долю выкупа, выплаченного жертвой нападения.

СноскиПравить

  1. Bing. Cyber attack shuts down top U.S. fuel pipeline network. Reuters (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  2. Segers. Cyberattack prompts major pipeline operator to halt operations. CBS News (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  3. 1 2 Peñaloza. Cybersecurity Attack Shuts Down A Top U.S. Gasoline Pipeline. NPR (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  4. Colonial Pipeline: US fuel firm resumes service after cyber-attack Архивная копия от 13 мая 2021 на Wayback Machine, BBC, 13.05.2021
  5. Sanger. Cyberattack Forces a Shutdown of a Top U.S. Pipeline. New York Times (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  6. Eaton. U.S. Pipeline Cyberattack Forces Closure. Wall Street Journal (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  7. Stracqualursi. Cyberattack forces major US fuel pipeline to shut down. CNN (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  8. Colonial Pipeline blames ransomware for pipeline shutdown. NBC News (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  9. Suderman. Major US pipeline halts operations after ransomware attack. AP News (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  10. Top US pipeline operator shuts major fuel line after cyber attack. The Jerusalem Post (8 May 2021). Дата обращения: 8 мая 2021. Архивировано 8 мая 2021 года.
  11. GLORIA GONZALEZ, BEN LEFEBVRE and ERIC GELLER. 'Jugular' of the U.S. fuel pipeline system shuts down after cyberattack, Politico (May 8, 2021). Архивировано 9 мая 2021 года. Дата обращения 10 мая 2021. «The infiltration of a major fuel pipeline is "the most significant, successful attack on energy infrastructure we know of."».
  12. Jordan Robertson and William Turton. Colonial Hackers Stole Data Thursday Ahead of Shutdown, Bloomberg News (May 8, 2021). Архивировано 9 мая 2021 года. Дата обращения 10 мая 2021.
  13. 1 2 3 Colonial hack: How did cyber-attackers shut off pipeline? Архивная копия от 11 мая 2021 на Wayback Machine, BBC, 11.05.2021
  14. Gas Stations Run Dry as Pipeline Races to Recover From Hacking (англ.). Bloomberg (11 мая 2021). Дата обращения: 6 августа 2021. Архивировано 10 мая 2021 года.
  15. GasBuddy reports 71% of gas stations without fuel in Charlotte metro amid Colonial Pipeline shutdown (англ.). WBTV (12 мая 2021). Дата обращения: 6 августа 2021. Архивировано 12 мая 2021 года.
  16. 1 2 May’s gas shortages were ‘nothing more than an inconvenience,’ says UH energy economist (англ.). The Cougar (27 мая 2021). Дата обращения: 6 августа 2021. Архивировано 6 августа 2021 года.
  17. Panic buying strikes Southeastern United States as shuttered pipeline resumes operations (англ.). The Washington Post (12 мая 2020). Дата обращения: 6 августа 2021. Архивировано 14 июня 2021 года.
  18. Officials warn people not to fill plastic bags with gasoline amid panic over gas shortage (англ.). CBS News (14 мая 2021). Дата обращения: 6 августа 2021. Архивировано 6 августа 2021 года.
  19. American Airlines adds stops to two flights after pipeline outage (англ.). Reuters (10 мая 2021). Дата обращения: 6 августа 2021. Архивировано 12 мая 2021 года.
  20. What Panic-Buyers Have Been Doing With Their Gas Now Shortage Eased (англ.). Newsweek (27 мая 2021). Дата обращения: 6 августа 2021. Архивировано 5 августа 2021 года.
  21. Eamon Javers. Here's the hacking group responsible for the Colonial Pipeline shutdown (англ.). cnbc.com. Дата обращения: 12 июля 2021. Архивировано 10 мая 2021 года.
  22. Ransomware: Should paying hacker ransoms be illegal? Архивная копия от 21 мая 2021 на Wayback Machine, BBC, 20.05.2021
  23. DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized (англ.). Krebs on Security (14 мая 2021). Дата обращения: 5 августа 2021. Архивировано 5 августа 2021 года.
  24. 1 2 U.S. seizes $2.3 mln in bitcoin paid to Colonial Pipeline hackers (англ.). Reuters (7 июня 2021). Дата обращения: 5 августа 2021. Архивировано 4 августа 2021 года.
  25. The ransomware surge ruining lives Архивная копия от 11 мая 2021 на Wayback Machine, BBC, 30.04.2021

СсылкиПравить