Quasi tre anni fa, il gasdotto Colonial Pipeline fu oggetto di un attacco che costrinse alla chiusura del suo sistema di oleodotti per sei giorni, causando una carenza di gas. Washington, D.C. e altri 17 stati dichiararono lo stato di emergenza.
Panoramica dell'attacco alla Colonial Pipeline
Nel maggio 2021, la Colonial Pipeline è stata vittima di un attacco ransomware che ha colpito diversi sistemi digitali e ha causato un'interruzione delle attività per alcuni giorni. L'incidente ha avuto ripercussioni sia sui consumatori che sulle compagnie aeree lungo la costa orientale. È stato considerato un rischio per la sicurezza nazionale, poiché l'oleodotto trasporta petrolio dalle raffinerie ai mercati industriali. Questo ha spinto il presidente degli Stati Uniti Joe Biden a dichiarare lo stato di emergenza.
Il Colonial Pipeline è uno dei più grandi e importanti oleodotti degli Stati Uniti, entrato in funzione nel 1962 per trasportare il petrolio dal Golfo del Messico agli stati della costa orientale. Il sistema comprende oltre 5.500 miglia di oleodotti, che partono dal Texas e attraversano il New Jersey, gestendo quasi la metà del carburante necessario alla costa orientale. Fornisce petrolio raffinato per la produzione di benzina, carburante per aerei e olio combustibile per uso domestico.
Il 6 maggio 2021, il gruppo di hacker DarkSide ha avuto accesso alla rete di Colonial Pipeline, rubando 100 GB di dati in due ore. Successivamente, ha infettato la rete IT con un ransomware, compromettendo diversi sistemi informatici, inclusi quelli contabili e di fatturazione.
La Colonial Pipeline ha dovuto interrompere il funzionamento dell'oleodotto per impedire la diffusione del ransomware. Successivamente, la società di sicurezza Mandiant è stata incaricata di indagare sull'attacco. Anche l'FBI, la Cybersecurity and Infrastructure Security Agency, il Dipartimento dell'Energia e il Dipartimento della Sicurezza Interna sono stati coinvolti.
Il 7 maggio 2021, la più grande società di oleodotti degli Stati Uniti ha pagato un riscatto di 75 Bitcoin, pari a circa 4,4 milioni di dollari, agli hacker per ottenere la chiave di decrittazione. L'oleodotto ha ripreso le operazioni il 12 maggio 2021.
Durante un'audizione al Congresso l'8 giugno 2021, Charles Carmakal, Vicepresidente senior e Direttore tecnologico di Mandiant, ha dichiarato che gli hacker si sono infiltrati nella rete utilizzando password trapelate di un account VPN. Molte organizzazioni utilizzano le VPN per accedere in modo sicuro alle proprie reti aziendali da remoto.
Secondo la testimonianza di Carmakal, un dipendente di Colonial Pipeline avrebbe condiviso la password di una VPN con un altro account, ma questa password sarebbe stata in qualche modo compromessa in una successiva violazione dei dati. Condividere la stessa password tra più account è un errore comune.
Nel corso dell'udienza, l'amministratore delegato di Colonial Pipeline, Joseph Blount, ha inoltre spiegato la sua decisione di pagare il riscatto. Al momento dell'attacco, non era a conoscenza dell'entità del danno né di quanto tempo ci sarebbe voluto per ripristinare il sistema. Pertanto, ha preso questa decisione nella speranza di accelerare il processo di recupero.
Il Dipartimento di Giustizia degli Stati Uniti, dopo aver rintracciato il pagamento, ha scoperto l'indirizzo digitale del portafoglio utilizzato dall'attaccante e ha ottenuto un'ordinanza del tribunale per il sequestro dei Bitcoin. Di conseguenza, l'operazione ha permesso di recuperare 64 dei 75 Bitcoin, per un valore di circa 2,4 milioni di dollari.
L'"eredità" dell'attacco al gasdotto Colonial Pipeline.
Per la prima volta, il ransomware ha attirato l'attenzione a livello nazionale, costringendo il Congresso ad approvare nuove leggi e spingendo numerose agenzie federali a emanare nuovi requisiti di sicurezza informatica. Gli attacchi ransomware non sono una novità; hanno già devastato governi, strutture sanitarie e scuole prima che Colonial Pipeline ne diventasse vittima. Tuttavia, ciò che lo distingue è il suo impatto regionale, secondo Ben Miller, vicepresidente dei servizi di sicurezza infrastrutturale di Dragos.
Charles Carmakal, vicepresidente senior di Mandiant, la società di sicurezza che ha collaborato alle indagini sull'incidente alla Colonial, ha commentato: "Ho appreso in seguito che c'è un certo livello di attenzione quando qualcosa ha un impatto reale sulla vita delle persone. Quando si tratta di benzina e carne, la gente se ne preoccupa davvero".
A causa dell'incidente al gasdotto Colonial Pipeline, molte compagnie aeree stanno riscontrando carenze di carburante e alcuni aeroporti sono soggetti a restrizioni operative. La preoccupazione per la scarsità di carburante ha generato panico tra la popolazione, causando lunghe code ai distributori di benzina in molti stati. Inoltre, i prezzi medi della benzina sono schizzati alle stelle a causa delle interruzioni del gasdotto. In alcuni stati, le persone stanno addirittura versando la benzina in sacchetti di plastica, spingendo la Commissione per la Sicurezza dei Prodotti di Consumo degli Stati Uniti a emettere un avviso, raccomandando l'utilizzo esclusivo di contenitori specifici per la benzina.
L'attacco al gasdotto Colonial Pipeline ha costretto tutti a valutare seriamente i rischi per la sicurezza e ad implementare politiche che in precedenza erano state trascurate. Secondo Mike Hamilton, ex responsabile della sicurezza informatica della città di Seattle, convincere il governo federale a dare priorità ai requisiti di sicurezza per le infrastrutture critiche è stata un'impresa ardua.
Gli incidenti successivi verificatisi alla fine del 2021, tra cui uno che ha preso di mira il produttore di carne JBS Foods, hanno esercitato ulteriore pressione su politici, autorità di regolamentazione e dirigenti. Questi eventi hanno agito da catalizzatore, spingendo i vertici aziendali a riconsiderare i propri piani di risposta agli attacchi ransomware. Secondo Miller, il livello di attenzione dedicato a tali piani è diventato molto più dettagliato.
Tuttavia, le normative e il settore devono ancora cambiare. Wendi Whitmore, Vicepresidente senior della Threat Intelligence Unit 42 di Palo Alto Networks, sostiene che sono necessari accordi multilaterali tra i paesi per contrastare il ransomware.
(Secondo Axios, Tech Target)
Fonte
![[Foto] Il Segretario Generale e Presidente To Lam presiede la riunione per l'approvazione della bozza di relazione sui risultati della seconda ispezione da parte del Politburo del Comitato Permanente del Comitato del Partito della città di Hanoi.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/26/1779789811432_a2-bnd-4430-9620-jpg.webp)
Commento (0)