Почти три года назад компания Colonial Pipeline подверглась нападению, что привело к закрытию ее топливопроводной системы на шесть дней и, как следствие, к нехватке газа. Вашингтон и еще 17 штатов объявили чрезвычайное положение.

Обзор атаки на Colonial Pipeline

В мае 2021 года компания Colonial Pipeline стала жертвой атаки программ-вымогателей, затронувшей несколько цифровых систем и вынудившей приостановить работу на несколько дней. Инцидент затронул как потребителей, так и авиакомпании на Восточном побережье. Он был расценен как угроза национальной безопасности, поскольку трубопровод транспортирует нефть от нефтеперерабатывающих заводов к промышленным рынкам. Это побудило президента США Джо Байдена объявить чрезвычайное положение.

Нефтепровод Colonial Pipeline — один из крупнейших и важнейших нефтепроводов в Соединенных Штатах, начавший свою работу в 1962 году для транспортировки нефти из Мексиканского залива в штаты Восточного побережья. Система включает в себя более 5500 миль трубопроводов, начинающихся в Техасе и проходящих через Нью-Джерси, и обеспечивает почти половину топлива для Восточного побережья. Он поставляет очищенную нефть для бензина, авиационного топлива и бытовых масел.

В мае 2021 года во многих штатах США закончилось топливо из-за аварии на трубопроводе Colonial Pipeline. Фото: NBC News

6 мая 2021 года хакерская группа DarkSide получила доступ к сети Colonial Pipeline и за два часа похитила 100 ГБ данных. Затем они заразили ИТ-сеть программой-вымогателем, что повлияло на работу множества компьютерных систем, включая системы бухгалтерского учета и выставления счетов.

Компания Colonial Pipeline была вынуждена остановить работу трубопровода, чтобы предотвратить распространение программы-вымогателя. Впоследствии для расследования атаки была привлечена охранная фирма Mandiant. К расследованию также подключились ФБР, Агентство по кибербезопасности и защите инфраструктуры, Министерство энергетики и Министерство внутренней безопасности.

7 мая 2021 года крупнейшая в США трубопроводная компания заплатила хакерам выкуп в размере 75 биткоинов, что составляет приблизительно 4,4 миллиона долларов, за получение ключа расшифровки. Работа трубопровода возобновилась 12 мая 2021 года.

В ходе слушаний в Конгрессе 8 июня 2021 года Чарльз Кармакал, старший вице-президент и главный технический директор компании Mandiant, заявил, что злоумышленники проникли в сеть, используя утекшие пароли от VPN-аккаунта. Многие организации используют VPN для безопасного удаленного доступа к своим корпоративным сетям.

Согласно показаниям Кармакала, сотрудник компании Colonial Pipeline, по всей видимости, поделился паролем от VPN с другим пользователем, но этот пароль каким-то образом был скомпрометирован в результате отдельной утечки данных. Использование одного и того же пароля для нескольких учетных записей — распространенная ошибка.

Также на слушаниях генеральный директор Colonial Pipeline Джозеф Блаунт объяснил свое решение заплатить выкуп. В момент нападения он не знал о масштабах произошедшего и о том, сколько времени потребуется для восстановления системы. Поэтому он принял это решение, надеясь ускорить процесс восстановления.

Министерство юстиции США, отследив платеж, обнаружило цифровой адрес кошелька, использованного злоумышленником, и получило постановление суда об изъятии биткоинов. В результате операции было возвращено 64 из 75 биткоинов, общей стоимостью приблизительно 2,4 миллиона долларов.

«Наследие» атаки на трубопровод Colonial Pipeline.

Впервые программы-вымогатели привлекли внимание всей страны, вынудив Конгресс принять новые законы и побудив многочисленные федеральные агентства ввести новые требования к кибербезопасности. Атаки программ-вымогателей — не новость; они наносили огромный ущерб правительствам, медицинским учреждениям и школам еще до того, как жертвой стала компания Colonial Pipeline. Однако, по словам Бена Миллера, вице-президента по услугам в области безопасности инфраструктуры в компании Dragos, их отличает региональное воздействие.

Чарльз Кармакал, старший вице-президент компании Mandiant, занимающейся обеспечением безопасности и оказывавшей помощь в расследовании инцидента в Colonial, прокомментировал: «Позже я понял, что когда что-то действительно влияет на жизнь людей, к этому проявляется определенный уровень внимания. Когда это касается бензина и мяса, людям действительно не все равно».

Из-за аварии на трубопроводе Colonial Pipeline многие авиакомпании испытывают нехватку топлива, а некоторые аэропорты сталкиваются с ограничениями в работе. Опасения по поводу дефицита топлива вызвали панику среди населения, что привело к длинным очередям на автозаправочных станциях во многих штатах. Кроме того, средние цены на бензин резко выросли из-за перебоев в работе трубопровода. В некоторых штатах люди даже переливают бензин в пластиковые пакеты, что побудило Комиссию по безопасности потребительских товаров США выпустить предупреждение о необходимости использования только специально предназначенной тары для бензина.

Атака на трубопровод Colonial Pipeline заставила всех серьезно задуматься о рисках безопасности и внедрить меры, которые ранее игнорировались. По словам Майка Гамильтона, бывшего руководителя службы информационной безопасности города Сиэтла, убедить федеральное правительство уделить приоритетное внимание требованиям безопасности критической инфраструктуры оказалось непростой задачей.

Последующие инциденты в конце 2021 года, включая один, направленный против производителя мяса JBS Foods, усилили давление на политиков, регулирующие органы и руководителей. Они послужили катализатором для пересмотра руководством собственных планов реагирования на атаки программ-вымогателей. По словам Миллера, уровень внимания к этим планам реагирования значительно повысился.

Тем не менее, нормативные акты и сама отрасль нуждаются в изменениях. Венди Уитмор, старший вице-президент подразделения анализа угроз № 42 в Palo Alto Networks, утверждает, что для борьбы с программами-вымогателями необходимы многосторонние соглашения между странами.

(По данным Axios и Tech Target)