Почти три года назад компания Colonial Pipeline подверглась нападению, и ей пришлось отключить систему топливопроводов на шесть дней, что привело к нехватке газа. Вашингтон, округ Колумбия, и 6 других штатов должны объявить чрезвычайное положение.
Панорамный вид на колониальный трубопровод, подвергшийся атаке
Colonial Pipeline стал жертвой программы-вымогателя в мае 5 года, которая затронула несколько цифровых систем и отключилась на несколько дней. Инцидент затронул как потребителей, так и авиакомпании на восточном побережье. Это считается угрозой национальной безопасности, поскольку по трубопроводу нефть перекачивается с нефтеперерабатывающих заводов на промышленные рынки. Это заставило президента США Джо Байдена объявить чрезвычайное положение.
Колониальный трубопровод — один из крупнейших и важнейших нефтепроводов в Соединенных Штатах, который начал работать в 1962 году для транспортировки нефти из Мексиканского залива в штаты Восточного побережья. Система включает в себя более 5.500 миль трубопроводов, начинающихся в Техасе и проходящих через Нью-Джерси, на которые приходится почти половина топлива Восточного побережья. Он обеспечивает рафинированное масло для бензина, авиакеросина и масло для дома.
6 мая 5 года хакерская группа DarkSide получила доступ к сети Colonial Pipeline, похитив 2021 ГБ данных за 100 часа. Затем они заразили ИТ-сети программой-вымогателем, затронув несколько компьютерных систем, включая бухгалтерский учет и выставление счетов.
Colonial Pipeline пришлось закрыть трубопровод, чтобы предотвратить распространение программ-вымогателей. После этого для расследования нападения была приглашена охранная фирма Mandiant. В мероприятии также приняли участие ФБР, Агентство кибербезопасности и безопасности инфраструктуры, Министерство энергетики и Министерство внутренней безопасности.
7 мая 5 года крупнейшая трубопроводная компания Америки была вынуждена заплатить хакерам выкуп в размере 2021 биткойнов на сумму около 75 миллиона долларов США, чтобы получить ключ дешифрования. Трубопровод снова заработает 4,4 мая 12 года.
На слушаниях в Конгрессе США 8 июня 6 года Чарльз Кармакал, старший вице-президент и главный технический директор Mandiant, заявил, что злоумышленник проник в сеть, используя утекший пароль учетной записи VPN. Многие организации используют VPN для удаленного доступа к защищенным корпоративным сетям.
Согласно показаниям Кармакала, сотрудник Colonial Pipeline, очевидно, поделился паролем VPN с другой учетной записью, которая каким-то образом была раскрыта в результате другой утечки данных. Использование одного и того же пароля для нескольких учетных записей — ошибка, которую допускают многие люди.
Также на слушаниях генеральный директор Colonial Pipeline Джозеф Блаунт объяснил, почему он решил заплатить выкуп. На момент атаки он не знал ни масштабов заражения, ни того, сколько времени потребуется на восстановление системы. Поэтому он принял такое решение в надежде ускорить время восстановления.
Министерство юстиции США, отследив платеж, обнаружило цифровой адрес кошелька, использованного злоумышленником, и добилось постановления суда о конфискации биткойнов. В результате кампания вернула 64/75 биткойнов на сумму около 2,4 миллиона долларов США.
«Наследие» от атаки на колониальный трубопровод
Впервые США обратили внимание на программы-вымогатели, вынудив Конгресс принять новые законы и побудив многие федеральные ведомства ввести новые требования к кибербезопасности. Атаки программ-вымогателей не новы: они разрушили многие правительства, медицинские учреждения и школы, прежде чем Colonial Pipeline стал жертвой. Однако, по словам Бена Миллера, вице-президента по услугам компании Dragos, занимающейся безопасностью инфраструктуры, разница заключается в региональном влиянии.
Чарльз Кармакал, старший вице-президент охранной фирмы Mandiant, подразделения, которое поддерживало расследование колониального инцидента, прокомментировал: «Позже я узнал, что существует определенный уровень внимания, когда происходит что-то, что действительно влияет на жизнь людей. Когда дело доходит до газа и мяса, людей это действительно волнует».
Из-за инцидента на Колониальном трубопроводе многим авиакомпаниям не хватало топлива, а работа некоторых аэропортов была ограничена. Опасения по поводу нехватки бензина вызвали панику у людей, которые выстраивались в очереди на заправочных станциях во многих штатах. Кроме того, из-за остановки трубопроводов резко выросли средние цены на насосных станциях. В некоторых штатах люди даже переливают бензин в пластиковые пакеты, что вынуждает Комиссию по безопасности потребительских товаров США выпустить предупреждение о необходимости использовать для хранения бензина только специализированные контейнеры.
Атака на «Колониальный трубопровод» заставила всех серьезно отнестись к рискам безопасности и принять политику, на которую раньше не обращали внимания. По словам Майка Гамильтона, бывшего директора по информационной безопасности Сиэтла, раньше заставить федеральное правительство расставить приоритеты в требованиях безопасности критически важной инфраструктуры было сложной задачей.
Последующие дела в конце 2021 года, направленные против производителя мяса JBS Foods, оказали дополнительное давление на политиков, регулирующих органов и руководителей. Они являются катализатором для руководства, чтобы пересмотреть свои собственные планы реагирования на программы-вымогатели. По словам Миллера, уровень внимания к планированию реагирования стал гораздо более детальным.
Несмотря на это, регулирование и отрасль все равно должны измениться. Венди Уитмор, старший вице-президент отдела разведки угроз Unit 42 компании Palo Alto Networks, считает, что между странами должны быть многосторонние соглашения для борьбы с программами-вымогателями.
(По данным Axios, Tech Target)
