Дефицит бензина из-за кибератаки: как взлом нефтепровода оставил без топлива половину восточного побережья США

Хакеры извинились за содеянное и заявили, что хотели «заработать денег», а власти ввели чрезвычайное положение.

7 мая крупнейший американский нефтепровод Colonial Pipeline приостановил транспортировку топлива. Спустя два дня компания признала, что стала жертвой кибератаки вируса-вымогателя, который зашифровал компьютеры до оплаты выкупа. Colonial Pipeline пообещала перенаправить бензин, но по состоянию на 11 мая так и не смогла решить проблему.

Colonial Pipeline переправлял топливо по четырём основным линиям — все они перестали работать из-за кибератаки. По нефтепроводу длиной в 8,8 тысяч километров проходило 2,5 миллиона баррелей в день — это 45% потребности в бензине и авиационном топливе для всего восточного побережья США.

Сразу после атаки компания пообещала в кратчайшие сроки попытаться восстановить работу трубопровода, но не смогла сделать это в одиночку. В результате Министерство транспорта США ввело временную чрезвычайную ситуацию, чтобы увеличить количество альтернативных маршрутов транспортировки нефти.

О ситуации с трубопроводом проинформировали президента США Джо Байдена. Он заявил, что лично следит за этим каждый день, а агентства приняли оперативные меры, чтобы снизить ущерб от кибератаки и готовы пойти на «дополнительные шаги», если Colonial Pipeline не сможет быстро восстановить поставки.

9 мая власти США смягчили ограничения для перевозки топлива автомобильным транспортом, чтобы свести к минимуму перебои поставок. Это позволило водителям в 18 штатах работать сверхурочно или по гибкому графику для доставки нефтепродуктов.

Однако опрошенные «Би-би-си» эксперты считают, что подобных мер может не хватить, если проблема окажется продолжительной. Нефтяной аналитик Гаурав Шарма (Gaurav Sharma) рассказал журналистам, что пока много топлива находится на перерабатывающих заводах в Техасе, но его хватит лишь до 12 мая.

Ответственность за взлом Colonial Pipeline взяла на себя группировка DarkSide, её причастность также подтвердили в ФБР. Группировка разместила на своём сайте заявление, в котором пояснила, что не хотела навредить людям, лишь заработать деньги.

Опрошенные «Би-би-си» эксперты по кибербезопасности предположили, что хакеры DarkSide могут находиться в России. Вирусы группировки избегают шифрования любых компьютерных систем, в которых по умолчанию установлен русский язык. Президент США также отметил, что обеспокоен возможным участием хакеров из России, но пояснил, что спецслужбы пока не нашли этому подтверждений.

В заявлении на сайте DarkSide отдельно отметила, что выступает как «аполитичная» группировка. Как пояснили хакеры, они «не участвуют в геополитике, не связаны с конкретным правительством» и посоветовали не искать мотивов их действий.

По словам хакеров, группировка была не в курсе, что целью одного из «филиалов» стал нефтепровод Colonial. В DarkSide пообещали впредь проверять каждую компанию, которую хотят «зашифровать» её партнёры, чтобы избежать социальных последствий.

Власти не уточнили конкретную сумму выкупа, которую потребовала DarkSide за расшифровку оборудования. Помимо заражения компьютеров, хакеры успели похитить около 100 гигабайт конфиденциальных данных и пообещали опубликовать их в сети в случае отказа платить.

В результате кибератаки DarkSide не только шифрует файлы и собирает данные, но ещё и показывает на заражённых компьютерах объявление с персональной ссылкой на утечку. Перейдя по ней, жертвы могут убедиться в том, что файлы похищены и готовы к автоматической публикации. Хакеры также угрожают удалением данных из сети жертвы.

По данным исследователей по кибербезопасности из Digital Shadows, DarkSide работает не совсем как хакерская группировка, а как бизнес. Злоумышленники занимаются разработкой ПО, которое шифрует и крадёт данные, а затем предоставляют вирусы-вымогатели «партнёрам», которые имеют процент с каждой успешной атаки.

DarkSide не стесняется внимания СМИ. Когда в марте группировка выпустила новую версию вируса, который шифровал данные быстрее, чем прежде, хакеры опубликовали пресс-релиз и пригласили журналистов на интервью.

У DarkSide есть свой сайт в даркнете со списком всех компаний, которые она взломала и списком похищенных данных. Хакеры также создали страницу «этика» с перечислением компаний, которые никогда не будет атаковать.

В Digital Shadows предположили, что причиной успешной кибератаки на Colonial Pipeline стал Covid-19. Из-за пандемии всё больше инженеров перевели на удалённый доступ к системам из дома — это стало угрозой безопасности сети.

По мнению сооснователя Digital Shadows Джеймса Чаппелла, DarkSide могла купить данные для доступа к удалённому управлению Colonial Pipeline через TeamViewer или Microsoft Remote Desktop у дата-брокеров. Хакеры также могли вручную перебрать данные для доступа, найдя незащищённый компьютер, подключённый к сети через поисковик вроде Shodan.

Как отметил Чаппелл, в последнее время это стало крайне серьёзной проблемой. При этом чаще всего жертвами подобных взломов становится малый бизнес.

В Digital Shadows считают, что DarkSide базируется в русскоговорящей стране. Причина такой теории — группировка избегает атак компаний на постсоветском пространстве, включая Россию, Украину, Белоруссию, Грузию, Армению, Молдову, Казахстан и не только.

#хакеры #взломы #кибербезопасность #сша #разборы