Επίθεση ransomware συγκλονίζει τις ΗΠΑ

Πριν από σχεδόν τρία χρόνια, ο αγωγός Colonial δέχθηκε επίθεση και έκλεισε για έξι ημέρες, με αποτέλεσμα να υπάρξει έλλειψη φυσικού αερίου. Η Ουάσινγκτον και 17 άλλες πολιτείες κήρυξαν κατάσταση έκτακτης ανάγκης.

Πανόραμα του αποικιακού αγωγού υπό επίθεση

Ο αγωγός Colonial Pipeline επλήγη από ransomware τον Μάιο του 2021, επηρεάζοντας πολλά ψηφιακά συστήματα και αναγκάζοντάς τον να κλείσει για αρκετές ημέρες. Το περιστατικό επηρέασε τόσο τους καταναλωτές όσο και τις αεροπορικές εταιρείες κατά μήκος της Ανατολικής Ακτής. Θεωρήθηκε κίνδυνος για την εθνική ασφάλεια επειδή ο αγωγός μεταφέρει πετρέλαιο από τα διυλιστήρια στις βιομηχανικές αγορές, ωθώντας τον Πρόεδρο των ΗΠΑ Τζο Μπάιντεν να κηρύξει κατάσταση έκτακτης ανάγκης.

Ο αγωγός Colonial είναι ένας από τους μεγαλύτερους και σημαντικότερους αγωγούς πετρελαίου στις Ηνωμένες Πολιτείες, ο οποίος άνοιξε το 1962 για να βοηθήσει στη μεταφορά πετρελαίου από τον Κόλπο του Μεξικού στις πολιτείες της Ανατολικής Ακτής. Το σύστημα αποτελείται από περισσότερα από 5.500 μίλια αγωγών, που ξεκινούν από το Τέξας και διασχίζουν το Νιου Τζέρσεϊ, και είναι υπεύθυνος για σχεδόν το ήμισυ των καυσίμων στην Ανατολική Ακτή. Προμηθεύει διυλισμένο πετρέλαιο για βενζίνη, καύσιμο αεριωθούμενων και πετρέλαιο οικιακής χρήσης.

Στις 6 Μαΐου 2021, η ομάδα χάκερ DarkSide απέκτησε πρόσβαση στο δίκτυο της Colonial Pipeline, κλέβοντας 100 GB δεδομένων μέσα σε 2 ώρες. Στη συνέχεια, μόλυνε το δίκτυο IT με ransomware, επηρεάζοντας πολλά συστήματα υπολογιστών, συμπεριλαμβανομένης της λογιστικής και της χρέωσης.

Η Colonial Pipeline αναγκάστηκε να κλείσει τον αγωγό για να αποτρέψει την εξάπλωση του ransomware. Στη συνέχεια, κλήθηκε η εταιρεία ασφαλείας Mandiant για να διερευνήσει την επίθεση. Συμμετείχαν επίσης το FBI, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών, το Υπουργείο Ενέργειας και το Υπουργείο Εσωτερικής Ασφάλειας.

Στις 7 Μαΐου 2021, η μεγαλύτερη εταιρεία αγωγών στις ΗΠΑ αναγκάστηκε να καταβάλει λύτρα 75 Bitcoin αξίας περίπου 4,4 εκατομμυρίων δολαρίων σε χάκερ για να αποκτήσει το κλειδί αποκρυπτογράφησης. Ο αγωγός τέθηκε ξανά σε λειτουργία από τις 12 Μαΐου 2021.

Κατά τη διάρκεια ακρόασης ενώπιον του Κογκρέσου των ΗΠΑ στις 8 Ιουνίου 2021, ο Charles Carmakal, Ανώτερος Αντιπρόεδρος και Διευθυντής Τεχνολογίας της Mandiant, δήλωσε ότι ο εισβολέας διείσδυσε στο δίκτυο χρησιμοποιώντας έναν διαρροή κωδικού πρόσβασης ενός λογαριασμού VPN. Πολλοί οργανισμοί χρησιμοποιούν VPN για να έχουν πρόσβαση σε ασφαλή εταιρικά δίκτυα από απόσταση.

Σύμφωνα με την κατάθεση του Carmakal, ένας υπάλληλος της Colonial Pipeline προφανώς μοιράστηκε έναν κωδικό πρόσβασης VPN με έναν άλλο λογαριασμό, αλλά αυτός ο κωδικός πρόσβασης αποκαλύφθηκε με κάποιο τρόπο σε μια άλλη παραβίαση δεδομένων. Η κοινή χρήση ενός κωδικού πρόσβασης σε πολλούς λογαριασμούς είναι ένα λάθος που κάνουν πολλοί άνθρωποι.

Επίσης, κατά την ακρόαση, ο Διευθύνων Σύμβουλος της Colonial Pipeline, Joseph Blount, εξήγησε γιατί αποφάσισε να πληρώσει τα λύτρα. Τη στιγμή της επίθεσης, δεν γνώριζε πόσο διαδεδομένη ήταν η μόλυνση ή πόσο χρόνο θα χρειαζόταν για την αποκατάσταση του συστήματος, οπότε πήρε την απόφαση με την ελπίδα να επιταχύνει τον χρόνο αποκατάστασης.

Το Υπουργείο Δικαιοσύνης των ΗΠΑ, αφού εντόπισε την πληρωμή, ανακάλυψε την ψηφιακή διεύθυνση του πορτοφολιού που χρησιμοποιούσε ο εισβολέας και έλαβε δικαστική εντολή για την κατάσχεση των Bitcoin. Ως αποτέλεσμα, η επιχείρηση ανέκτησε 64/75 Bitcoin αξίας περίπου 2,4 εκατομμυρίων δολαρίων.

«Κληρονομιά» της επίθεσης στον αγωγό Colonial

Το ransomware είναι η πρώτη φορά που οι Ηνωμένες Πολιτείες το αντιλαμβάνονται, αναγκάζοντας το Κογκρέσο να ψηφίσει νέους νόμους και ωθώντας πολλές ομοσπονδιακές υπηρεσίες να εισαγάγουν νέες απαιτήσεις κυβερνοασφάλειας. Οι επιθέσεις ransomware δεν είναι κάτι καινούργιο. Έχουν καταστρέψει κυβερνήσεις, εγκαταστάσεις υγειονομικής περίθαλψης και σχολεία πριν πέσει θύμα η Colonial Pipeline. Αλλά η διαφορά είναι ο περιφερειακός αντίκτυπος, σύμφωνα με τον Ben Miller, αντιπρόεδρο υπηρεσιών στην εταιρεία ασφάλειας υποδομών Dragos.

«Αργότερα έμαθα ότι υπάρχει ένα ορισμένο επίπεδο προσοχής όταν υπάρχει πραγματικός αντίκτυπος στη ζωή των ανθρώπων», δήλωσε ο Charles Carmakal, ανώτερος αντιπρόεδρος της εταιρείας ασφαλείας Mandiant, η οποία βοήθησε στην έρευνα του περιστατικού στο Colonial. «Όταν πρόκειται για βενζίνη και κρέας, οι άνθρωποι νοιάζονται πραγματικά».

Λόγω του περιστατικού με τον αγωγό Colonial, πολλές αεροπορικές εταιρείες έχουν ξεμείνει από καύσιμα και ορισμένα αεροδρόμια έχουν περιοριστεί. Οι ανησυχίες για την έλλειψη βενζίνης έχουν προκαλέσει πανικό στους ανθρώπους, με αποτέλεσμα μεγάλες ουρές στα βενζινάδικα σε πολλές πολιτείες. Επιπλέον, οι μέσες τιμές στα πρατήρια έχουν επίσης εκτοξευθεί λόγω του κλεισίματος του αγωγού. Σε ορισμένες πολιτείες, οι άνθρωποι ρίχνουν ακόμη και βενζίνη σε πλαστικές σακούλες, αναγκάζοντας την Επιτροπή Ασφάλειας Καταναλωτικών Προϊόντων των ΗΠΑ να εκδώσει προειδοποίηση για τη χρήση μόνο εξειδικευμένων δοχείων για βενζίνη.

Η επίθεση στον αγωγό Colonial Pipeline ανάγκασε τους πάντες να λάβουν σοβαρά υπόψη τους κινδύνους ασφαλείας και να εφαρμόσουν πολιτικές που προηγουμένως είχαν παραβλεφθεί. Η προσπάθεια της ομοσπονδιακής κυβέρνησης να ιεραρχήσει τις απαιτήσεις ασφάλειας κρίσιμων υποδομών ήταν δύσκολο έργο, σύμφωνα με τον Mike Hamilton, πρώην επικεφαλής ασφάλειας πληροφοριών της πόλης του Σιάτλ.

Τα επόμενα περιστατικά στα τέλη του 2021 – συμπεριλαμβανομένου ενός που στόχευε τον παραγωγό κρέατος JBS Foods – αύξησαν την πίεση στους υπεύθυνους χάραξης πολιτικής, τις ρυθμιστικές αρχές και τα στελέχη. Ήταν καταλύτης για τα στελέχη ώστε να επανεξετάσουν τα δικά τους σχέδια αντιμετώπισης ransomware. Ο Μίλερ είπε ότι το επίπεδο ενδιαφέροντος για τα σχέδια αντιμετώπισης έγινε πολύ πιο λεπτομερές.

Ωστόσο, απαιτούνται αλλαγές στη νομοθεσία και τον κλάδο. Η Wendi Whitmore, ανώτερη αντιπρόεδρος πληροφοριών για απειλές στην Palo Alto Networks Unit 42, λέει ότι θα πρέπει να υπάρχουν πολυμερείς συμφωνίες μεταξύ των χωρών για την καταπολέμηση του ransomware.

(Σύμφωνα με την Axios, Tech Target)