Кибератака прервала поставки топлива по трубе практически на неделю, что спровоцировало дефицит бензина на заправках.
Что произошло
Кибератака произошла 7 мая. Хакерам удалось внедрить в автоматизированную систему управления оборудованием программу-вредитель, которая зашифровала значительный объем коммерческих данных. В результате работа всех трубопроводов была прервана.
The Washington Post писала со ссылкой на свои источники, что изначально руководство компании не собиралось идти на поводу у злоумышленников. Однако спустя несколько часов после инцидента в Colonial Pipeline все же пошли на сделку. По данным , компания заплатила хакерам около 5 миллионов долларов неотслеживаемой криптовалютой. При этом официально в Colonial Pipeline не подтвердили эту информацию и отказались ее комментировать.
Один из собеседников издания рассказал, что в атаке хакеров использовалась программа-вымогатель. Такие программы зашифровывают данные, блокируя систему, а за расшифровку злоумышленники требуют уплаты выкупа. После того, как хакеры получили выкуп, они предоставили компании дешифратор для восстановления системы. Однако он работал настолько медленно, что компания продолжала использовать свои резервные копии для восстановления системы, отметил собеседник агентства.
Новости по теме: Хакер похитил данные офшорного банка во имя борьбы с капитализмом
13 мая оператор американского трубопровода заявил, что начинает работу по возобновлению деятельности трубопровода. Спустя день компания выпустила релиз, в котором объявила о восстановлении поставок на восточном побережье: «Colonial Pipeline безопасно перезапустил работу всей нашей системы трубопроводов и сообщает, что доставка (нефти) продуктов началась на всех рынках, которые мы обслуживаем». Тем не менее в пресс-службе признали, что на возвращение поставок к прежнему уровню уйдет еще несколько дней.
Кто стоит за кибератакой
По версии ФБР, хакеры, которые устроили атаку, связаны с группировкой DarkSide. Предположительно они находятся в России или Восточной Европе, считают в ведомстве. ФБР не рекомендует организациям выплачивать выкуп хакерам, поясняя, что это не гарантирует восстановление системы и мотивирует других преступников.
По предположению одного из источников Associated Press, хакеры украли данные компании, чтобы использовать их для вымогательства. Об этом ранее также писал Bloomberg. Агентство утверждало, что хакерам удалось похитить около 100 гигабайт данных.
Мнение о том, что к атаке может быть причастна российская группировка DarkSide, поддержало и агентство CNN, ссылаясь на бывшего американского чиновника. При этом источники NBC News считают, что DarkSide не связана с правительством России. Хакерская группировка избегает нападений на организации в странах бывшего советского блока, отмечает агентство. Собеседник CNN пояснил, что DarkSide, как правило, не атакует компании из русскоязычных стран.
Президент США Джо Байден заявил, что у Вашингтона есть основания полагать, что к атаке на Colonial Pipeline причастны именно российские хакеры. По его словам, в Белом доме не считают, что за ними стоят российские власти, однако «есть доказательства того, что оборудование хакеров находится на территории России». Байден также отметил, что планирует обсудить борьбу с киберпреступностью с российским президентом Владимиром Путиным. Между тем в Кремле отрицают причастность страны к нападению.
DarkSide поддерживает «образ Робин Гуда», который ворует у корпораций и отдает часть денег на благотворительность, пишет AP. В самой же DarkSide, как указывает издание , заявили, что ее целью является просто заработок денег, но не создание проблем для общества.
Как рассказали хакеры, в настоящее время вводится система модерации и проверка каждой компании, на которую планируется совершить атаку. Это необходимо для того, чтобы избежать последствия для общества в будущем. Помимо этого, DarkSide заявляет, что не принимает участие в политических играх.
«Мы аполитичны, не нужно связывать нас с определенным правительством и искать другие наши мотивы», — цитирует издание их заявление. При этом, в их заявлении прямо не указывается на инцидент с трубопроводом, однако в качестве заголовка использовалась фраза «О последних новостях».
Выкуп в 5 миллионов долларов не очень большой, считает основатель и глава компании, специализирующейся на кибербезопасности Lifars Ондрей Крехель. По его мнению, с таких компаний хакеры обычно требуют от 25 до 35 миллионов долларов. Он связал такой размер выкупа с тем, что хакеры поняли, что привлекли внимание правительства.
