Вирус, который поражает трубопроводы, и не только

За группой хакеров, атаковавшей Colonial Pipeline, может стоять Россия. На этой неделе Соединенные Штаты переживают невиданный до этого кризис. Кибератака группы хакеров DarkSide на оператора крупнейшей сети трубопроводов привела к остановке его работы. Некоторые штаты столкнулись с проблемой дефицита бензина. США принимают экстренные меры, чтобы смягчить последствия нападения, которое, предположительно, спланировано в России.

И ТУТ ВИРУС

В понедельник Федеральное бюро расследований США официально подтвердило, что кибератаку на оператора крупнейшего американского трубопровода осуществила хакерская группа DarkSide, которую связывают с Россией. "ФБР подтверждает, что хакерская группа DarkSide несет ответственность за атаку на Colonial Pipeline. Мы продолжаем работать с компанией и нашими государственными партнерами над расследованием", – говорится в заявлении ведомства.

В результате атаки стратегический трубопровод Colonial Pipeline, который обеспечивает 45% дизельного топлива и бензина на восточном побережье, в пятницу был остановлен. Компания стала жертвой вируса-шифровальщика, и хакеры удерживают похищенные данные. По данным американских СМИ, в результате атаки злоумышленники извлекли до 100 Гб данных.

В Белом доме, несмотря на внешнее спокойствие и сдержанность, поднялся настоящий переполох. Официальные лица совещались в течение всех выходных и в результате сформировали межведомственную рабочую группу для обсуждения сценариев и планирования дальнейших шагов. В субботу Федеральное управление по безопасности автотранспортных средств США объявило чрезвычайную ситуацию в 17 штатах и в Вашингтоне в связи с остановкой трубопровода.

Администрация Байдена, по данным американских СМИ, завершает работу над специальным указом, в котором расписано, как реагировать на крупные кибератаки и защищаться от них. Соответствующее слушание состоялось в Сенате США.

Colonial Pipeline – частная компания, которая базируется в городе Альфаретта штата Джорджия. В состав ее владельцев входят Royal Dutch Shell (RDSA) и Koch Industries. Охватывает более 9000 км трубопроводов и ежедневно транспортирует 2,7 млн баррелей бензина, дизельного, авиационного топлива, мазута для отопления домов с побережья Мексиканского залива на Восточное побережье - от Техаса до Нью-Джерси. Трубопровод обеспечивает керосином крупные аэропорты, многие из которых имеют ограниченные запасы на месте. Остановка поставок, в частности, может повлиять на работу аэропорта в Атланте.

Фото: Getty Images

 

На данный момент система остается парализованной. Компания смогла начать эксплуатацию некоторых вспомогательных линий и говорит, что планирует возобновить работу до конца недели.

ТЕМНАЯ СТОРОНА «РОБИНГУДОВ»

DarkSide – это программа-вымогатель с высоким риском, которая начала атаковать организации по всему миру в августе 2020 года. Считается, что ею руководят бывшие партнеры других компаний-вымогателей.

Эта группа хакеров, как сообщается на сайте технологических новостей BleepingComputer, уже собрала миллионы долларов за свои кибератаки и заявила о себе в «пресс-релизе»: «Мы новый продукт на рынке, но это не означает, что у нас нет опыта и мы пришли ниоткуда. Мы получили прибыль в миллионы долларов, сотрудничая с известными криптолокаторами. Мы создали DarkSide, потому что не нашли для себя идеального продукта. Теперь он у нас есть».

Как и их "коллеги", дарксайдовцы не только шифруют (блокируют с помощью шифра) информацию пользователя, но и изымают данные с пораженных серверов.

Фото: GETTY

 

Зашифрованные файлы могут иметь различные форматы - аудио-, видеофайлы, фотографии, архивы, другие документы и тому подобное. Вирус меняет их расширение на DarkSide.

Создается специальный файл README.xxxxxxx.TXT, который содержит исчерпывающую информацию о произошедшем и о стоимости выкупа.

В примечании ниже указаны адреса, по которым жертвы могут связаться с преступниками.

Интересно, что вымогатель DarkSide, в отличие от других программ, Maze или Clop, хочет выглядеть «робингудом», и рассказывает о том, что нельзя трогать определенные домены, в том числе правительственные, некоммерческие, медицинские и образовательные.

Более того, утверждает, что имеет соответствующий этический кодекс.

По словам хакеров, перед атакой на организацию они проверяют ее счета, чтобы убедиться, что предприятие может позволить себе заплатить выкуп, поскольку «не хотят убивать ваш бизнес».

Благородные и великодушные... Часть заработанных денег якобы передают благотворительным организациям.

Шантаж заключается в том, что они угрожают жертве обнародовать данные через Даркнет, разослать их ее клиентам и в СМИ, если не получают выкуп.

Хакеры утверждают, что сами были удивлены остановкой трубопровода: в этом, по их словам, необходимости не было.

"Мы аполитичны, мы не участвуем в геополитике, не нужно связывать нас с определенным правительством и искать мотивы, – говорится в заявлении, обнародованном в Даркнете. – Наша цель – зарабатывать деньги, а не создавать проблемы для общества. С сегодняшнего дня мы вводим модерацию и проверяем каждую компанию, которую наши партнеры хотят шифровать, чтобы избежать социальных последствий в будущем".

Их требования относительно выкупа варьируются от 200 тысяч до 2 миллионов долларов.

Отмечается, что группа нацелена только на англоязычные сайты и избегает ресурсов, которые используют русский язык как основной, что служит дополнительным доказательством ее причастности к России.

Главная цель "инфицирования" вирусом для DarkSide - проникновение в компьютерную систему жертвы, например, через присланные документы. Такие документы могут быть доставлены по электронной почте и выглядеть как вполне обыкновенные файлы.

Когда пользователи загружают и запускают их, компьютер мгновенно заражается.

Вредоносные программы также часто устанавливаются случайно через поддельные программы обновления.

У DarkSide есть собственный веб-сайт в Даркнете, на котором размещена масса похищенных данных жертв, которые не заплатили выкуп.

ПОДОЗРЕВАЕТСЯ РОССИЯ

Высокопоставленные чиновники США считают, что за атакой на трубопровод стоят российские киберпреступники, как это случалось и в предыдущие разы.

У Соединенных Штатов есть доказательства, что действующие лица программы-вымогателя находятся в России, хотя еще нет подтверждений, что атаку организовало государство, отметил в понедельник президент Джо Байден.

"Я собираюсь встретиться с президентом Путиным, – добавил он. – Они несут определенную ответственность в связи с этим".

Байден / Фото: The New York Times
The New York Times

 

Россия, как всегда, отрицает свою причастность и пожаловалась, что США больше не сотрудничают с Москвой в противодействии угрозам. Одним словом, "ихтамнет".

«Россия не имеет отношения к этим хакерским атакам и не имеет ничего общего с предыдущими хакерскими атаками, – заявил пресс-секретарь Путина Дмитрий Песков. – Мы категорически не принимаем никаких обвинений в свой адрес».

«Инцидент представляет собой крупнейшую из известных кибератаку на энергетический сектор США и раскрывает уязвимость критически важной инфраструктуры США и американских компаний перед атаками программ-вымогателей на правительство США», – говорится в аналитической записке частной разведывательно-аналитической компании Stratfor. Отмечается, что с 2019 по 2020 год количество таких атак выросло на 485%.

"Это новый вид конфликта: речь идет не о боевых кораблях, самолетах и армии. Под угрозой - инфраструктура частного сектора, - заявил независимый сенатор Ангус Кинг в интервью CNN. - 85% киберпространства охвачено частным сектором... Печальная правда заключается в том, что киберпространство обходится дешево. Путин может нанять 8000 хакеров по цене одного реактивного самолета". Сенатор напомнил, что около месяца назад администрация Байдена ввела санкции против России за атаку через SolarWinds на административные структуры. "Мы должны продолжить эту игру", – добавил Кинг.

Ангус Кінг / Фото: Getty Images

 

Многие конгрессмены считают, что Байдену следует прилагать больше усилий для сдерживания иностранных противников и защиты США от подобных атак в ближайшем будущем.

ДЕФИЦИТ БЕНЗИНА И ПОЛИТИКА

По мнению экспертов, быстрое преодоление трубопроводного кризиса необходимо нынешней администрации еще и из политических соображений, поскольку республиканцы сразу возложили вину на демократов, которые якобы привели к дефициту бензина в стране. Как рассказал Укринформу спикер Украинского конгрессового комитета Америки Андрей Добрянский, который занимается политическими вопросами в УКК, республиканцы сравнивают Байдена с президентом-демократом Джимми Картером. Тот находился у власти один срок (1977-1981 гг.) и во время его правления вспыхнул бензиновый кризис из-за ухудшения отношений США с Ираном. По словам Добрянского, сейчас в южных штатах – Флориде, Южной Каролине, Джорджии и других, наблюдается дефицит автомобильного топлива, чего не было давно в Соединенных Штатах. Водители выстаивают длинные очереди, чтобы заправиться бензином.

После бензинового кризиса Картер, баллотировавшийся на второй срок, проиграл республиканцу Рональду Рейгану. Нынешние республиканцы надеются, что Байден так же, отбыв один срок, проиграет Трампу или другому выдвиженцу Республиканской партии.

* * *

На сегодня цена на бензин выросла местами на 20% – с 2,48 до 2,98 доллара за баррель. Компания Colonial Pipeline еще не заплатила шантажистам деньги, хотя эксперты такой возможности не исключают, поскольку это может обойтись дешевле, чем потери от остановки конвейера.

Владимир Ильченко, Нью-Йорк

Обсудить