7 мая Colonial Pipeline (Колониальный трубопровод), который простирается от Техаса до Нью-Йорка и является крупнейшей трубопроводной системой для нефтепродуктов в Соединенных Штатах, подвергся атаке программы-вымогателя, в результате которой была остановлена работа большей части трубопровода протяженностью 5500 миль. Компании пришлось управлять многими участками трубопровода вручную. Она обратилась за помощью к частным кибер-расследователям и правительству США. Между тем, огромный сегмент критической инфраструктуры США был отключен, и у Вашингтона, похоже, так и не нашлось никаких ответов.
Мы не знаем, что хакеры требовали от Colonial Pipeline и даже кто эти хакеры. Программа-вымогатель в своей самой простой форме атакует киберсеть, шифруя все и требуя выкуп, прежде чем шифрование может быть удалено. В случае с Colonial Pipeline мы знаем, что наряду с шифрованием всех компьютеров в сети Colonial Pipeline злоумышленники также украли огромное количество данных компании о ее потребителях.
Что воры планируют делать с данными, в настоящее время неизвестно. В предыдущих случаях с использованием программ-вымогателей, связанных с кражей информации, те, кто не платит, обнаруживают, что выборочная информация публикуется или передается конкурентам или враждебным правительствам.
Компьютеры могут быть заражены разными способами, даже если они фактически не подключены к Интернету. В знаменитом деле Stuxnet, когда промышленные контроллеры Siemens были взломаны и повредили иранские центрифуги с урановым газом – Stuxnet был изобретен США и Израилем – вредоносная программа была встроена в определенные версии обновления программного обеспечения контроллера Siemen.
Есть много способов перенести вредоносное ПО на компьютеры –например, через электронную почту, взломать пароли и выдать себя за законного пользователя, используя ложные учетные данные или даже с помощью инсайдера, работающего на компанию или организацию.
Mandiant, дочерняя компания Fire Eye, подготовила полезный отчет, в котором представлена информация об основных типах вредоносных программ и о предыстории некоторых из наиболее крупных злоумышленников. Mandiant теперь работает с Colonial.
Проблемы безопасности. В Соединенных Штатах, помимо правительства и вооруженных сил, большая часть критически важной инфраструктуры находится в частной собственности и активно эксплуатируется. Хотя это может свидетельствовать о том, что отраслевые стандарты безопасности ниже стандартов правительства США, правда в том, что и правительство, включая военные ведомства, и частный сектор сталкиваются с аналогичными проблемами безопасности.
Почти все компьютерные сети с годами перевернулись, и в сетях часто используются сетевые компоненты, которые не были обновлены для обеспечения безопасности. Но даже если все они применяли передовые методы обеспечения безопасности и следовали дисциплинированному подходу в последовательном обновлении оборудования и программного обеспечения и обучили всех сотрудников передовым методам, они все равно остаются уязвимыми, особенно для изощренных кибератак.
Группа вымогателей, атаковавшая Colonial, известна как DarkSide. DarkSide говорит: – «Мы аполитичны, мы не участвуем в геополитике, нам не нужно связывать нас с определенным правительством и искать другие наши мотивы. Наша цель – зарабатывать деньги, а не создавать проблемы для общества. С сегодняшнего дня мы вводим модерацию и проверяем каждую компанию, которую наши партнеры хотят зашифровать, чтобы избежать социальных последствий в будущем».
Брайан Кребс, эксперт по безопасности, пишет, что «DarkSide впервые появилась на русскоязычных хакерских форумах в августе 2020-го года. Это платформа-вымогатель как услуга, которую проверенные киберпреступники могут использовать для заражения компаний с помощью программ-вымогателей и проведения переговоров и расчетов с жертвами. DarkSide заявляет, что нацелена только на крупные компании и запрещает аффилированным лицам использовать программы-вымогатели в нескольких отраслях, включая здравоохранение, похоронные услуги, образование, государственный сектор и некоммерческие организации.
Администрация Байдена дала понять, что, по их мнению, атака на Colonial Pipeline, по крайней мере, была поддержана российским правительством, но пока у них нет доказательств. Фактически, правительство США, похоже, не знает, как бороться с атаками программ-вымогателей. Нет сомнений в том, что отношения между США и Россией находятся на рекордно низком уровне, может быть, даже хуже, чем во время холодной войны, когда, как объясняет министр иностранных дел России Сергей Лавров, США по крайней мере, уважали Россию. Верно также и то, что русские пытаются разными способами оказать давление на Соединенные Штаты – и наоборот.
Кибершпионаж. В более широком плане американская разведка утверждает, что иностранные правительства – например, Китай, Россия, Иран и другие – либо напрямую проводят кибероперации против внешних целей, либо побуждают хакеров делать это за них.
Даже возвращаясь к самым ранним компьютерным взломам, Клиффорд Столл в своей книге «Яйцо кукушки: отслеживание шпиона через лабиринт компьютерного шпионажа» (1989) сообщил, что хакер из Бремена, Германия, проник в компьютерную систему Национальной лаборатории им. Лоуренса Ливермора и искала секретную информацию Министерства обороны США. Бременский хакер работал на КГБ.
Сегодня враждебные правительства могут позволить себе организовать крупные и изощренные операции по кибершпионажу или использовать эти операции для нанесения вреда противнику. Это то, что китайцы пытались сделать против Тайваня, русские против Соединенных Штатов, Украины и некоторых европейских стран, таких как Эстония и Иран, использовали кибер-методы для атаки на Израиль. Многие кибератаки предназначены для кражи интеллектуальной собственности. Китай обворовал поставщиков Lockheed, чтобы украсть информацию о конструкции истребителя F-35. Иран использовал кибершпионаж для кражи интеллектуальной собственности сотен университетов и частных компаний.
Несмотря на то, что правительство и промышленность тратят сотни миллиардов долларов на компьютерную безопасность, большинство компьютерных систем и сетей по-прежнему подвержены кибератакам, включая программы-вымогатели. Что еще хуже, как подчеркивается в деле Colonial Pipeline, правительство, включая правоохранительные органы, не знает, что делать в случае серьезного вторжения. Это особенно беспокоит, потому что вся критическая инфраструктура может быть разрушена решительным противником, и Вашингтон будет просто чесать затылок, как сейчас.
BRYEN