Почти три года назад трубопровод Colonial подвергся нападению и был перекрыт на шесть дней, что привело к дефициту газа. Вашингтон, округ Колумбия, и 17 других штатов объявили чрезвычайное положение.

Панорама Колониального трубопровода под атакой

В мае 2021 года компания Colonial Pipeline подверглась атаке вируса-вымогателя, что затронуло несколько цифровых систем и привело к её отключению на несколько дней. Инцидент затронул как потребителей, так и авиакомпании на Восточном побережье. Он считался угрозой национальной безопасности, поскольку по нему транспортируется нефть с нефтеперерабатывающих заводов на промышленные рынки, что побудило президента США Джо Байдена объявить чрезвычайное положение.

Колониальный нефтепровод — один из крупнейших и важнейших нефтепроводов в США, открытый в 1962 году для транспортировки нефти из Мексиканского залива в штаты Восточного побережья. Система состоит из более чем 8000 километров трубопроводов, начинающихся в Техасе и проходящих через Нью-Джерси, и обеспечивает почти половину поставок топлива на Восточное побережье. Он поставляет очищенную нефть для бензина, авиационного топлива и нефтепродуктов.

На многих заправочных станциях в штатах США закончилось топливо из-за закрытия системы Colonial Pipeline, май 2021 г. Фото: NBC News

6 мая 2021 года хакерская группа DarkSide получила доступ к сети Colonial Pipeline и за два часа похитила 100 ГБ данных. Затем они заразили IT-сеть программой-вымогателем, повредив множество компьютерных систем, включая бухгалтерские и биллинговые.

Компании Colonial Pipeline пришлось перекрыть трубопровод, чтобы предотвратить распространение вируса-вымогателя. К расследованию атаки была привлечена охранная фирма Mandiant. В расследовании также участвовали ФБР, Агентство кибербезопасности и безопасности инфраструктуры, Министерство энергетики и Министерство внутренней безопасности.

7 мая 2021 года крупнейшей трубопроводной компании США пришлось заплатить хакерам выкуп в размере 75 биткоинов на сумму около 4,4 миллиона долларов, чтобы получить ключ дешифрования. Трубопровод возобновил работу 12 мая 2021 года.

На слушаниях в Конгрессе США 8 июня 2021 года Чарльз Кармакал, старший вице-президент и главный технический директор Mandiant, заявил, что злоумышленник проник в сеть, используя украденный пароль от VPN-аккаунта. Многие организации используют VPN для удалённого доступа к защищённым корпоративным сетям.

Согласно показаниям Кармакала, сотрудник Colonial Pipeline, по всей видимости, передал пароль VPN другому аккаунту, но этот пароль каким-то образом стал известен в результате другой утечки данных. Использование пароля для нескольких аккаунтов — ошибка, которую совершают многие.

Также на слушаниях генеральный директор Colonial Pipeline Джозеф Блаунт объяснил, почему он решил заплатить выкуп. На момент атаки он не знал, насколько широко распространилась инфекция и сколько времени потребуется на восстановление системы, поэтому принял решение в надежде ускорить процесс восстановления.

Министерство юстиции США, отследив платёж, обнаружило цифровой адрес кошелька, использованного злоумышленником, и получило постановление суда на конфискацию биткоинов. В результате операции было изъято 64/75 биткоинов на сумму около 2,4 миллиона долларов.

«Наследие» атаки на колониальный трубопровод

Программы-вымогатели – это первый случай, о котором США узнали, что вынудило Конгресс принять новые законы и побудило многие федеральные агентства ввести новые требования к кибербезопасности. Атаки программ-вымогателей не новы: до того, как Colonial Pipeline стал их жертвой, они уже наносили ущерб правительствам, медицинским учреждениям и школам. Однако, по словам Бена Миллера, вице-президента по сервисам компании Dragos, занимающейся безопасностью инфраструктуры, разница заключается в региональном масштабе.

«Позже я узнал, что когда речь идёт о реальном влиянии на жизни людей, определённый уровень внимания необходим», — сказал Чарльз Кармакал, старший вице-президент охранной компании Mandiant, которая участвовала в расследовании инцидента в Колониале. «Когда речь идёт о газе и мясе, люди действительно заботятся».

Из-за инцидента на трубопроводе Colonial у многих авиакомпаний заканчивается топливо, а работа некоторых аэропортов ограничена. Опасения по поводу нехватки бензина вызвали панику среди людей, что привело к длинным очередям на заправочных станциях во многих штатах. Кроме того, из-за закрытия трубопровода резко выросли средние цены на бензин. В некоторых штатах люди даже переливают бензин в пластиковые пакеты, что вынудило Комиссию по безопасности потребительских товаров США выпустить предупреждение о необходимости использовать для бензина только специальную тару.

Атака на трубопровод Colonial Pipeline заставила всех серьёзно отнестись к рискам безопасности и внедрить меры, которые ранее игнорировались. По словам Майка Гамильтона, бывшего директора по информационной безопасности города Сиэтл, добиться от федерального правительства приоритетного внимания к безопасности критически важной инфраструктуры было непростой задачей.

Последующие инциденты в конце 2021 года, включая инцидент с производителем мяса JBS Foods, усилили давление на политиков, регулирующие органы и руководителей. Они побудили руководителей пересмотреть собственные планы реагирования на программы-вымогатели. Миллер отметил, что интерес к планам реагирования стал гораздо более детальным.

Тем не менее, необходимы регулирование и изменения в отрасли. Венди Уитмор, старший вице-президент по анализу угроз в Palo Alto Networks Unit 42, считает, что необходимы многосторонние соглашения между странами для борьбы с программами-вымогателями.

(По данным Axios, Tech Target)