Вірус, що вражає трубопроводи, і не тільки
Цього тижня Сполучені Штати переживають небачену досі кризу. Кібератака групи хакерів DarkSide на оператора найбільшої мережі трубопроводів призвела до зупинки його роботи. Деякі штати зіткнулися з проблемою дефіциту пального. США вживають екстрених заходів, аби пом'якшити наслідки нападу, який, імовірно, сплановано в Росії.
І ТУТ ВІРУС
У понеділок Федеральне бюро розслідувань США офіційно підтвердило, що кібератаку на оператора найбільшого американського трубопроводу здійснила хакерська група DarkSide, яку пов’язують із Росією. «ФБР підтверджує, що хакерська група DarkSide несе відповідальність за атаку на Colonial Pipeline. Ми продовжуємо працювати з компанією і нашими державними партнерами над розслідуванням», – ідеться в заяві відомства.
Унаслідок атаки стратегічний трубопровід Colonial Pipeline, який забезпечує 45% дизельного пального і бензину на Східному узбережжі, у п’ятницю було зупинено. Компанія стала жертвою вірусу-шифрувальника, і хакери утримують викрадені дані. За даними американських ЗМІ, у результаті атаки зловмисники витягнули до 100 Гб даних.
У Білому домі, всупереч зовнішньому спокою і стриманості, здійнявся справжній переполох. Офіційні особи радилися протягом усіх вихідних і в результаті сформували міжвідомчу робочу групу для обговорення сценаріїв і планування подальших кроків. У суботу Федеральне управління безпеки автотранспортних засобів США оголосило надзвичайну ситуацію в 17 штатах та Вашингтоні у зв’язку із зупинкою трубопроводу.
Адміністрація Байдена, за даними американських ЗМІ, завершує роботу над спеціальнім указом, у якому розписано, як реагувати на великі кібератаки й захищатися від них. Відповідне слухання відбулося в Сенаті США.
Colonial Pipeline – приватна компанія, що базується в місті Альфаретта штату Джорджія. До складу її власників входять Royal Dutch Shell (RDSA) і Koch Industries. Охоплює більш як 9000 км трубопроводів і щоденно транспортує 2,7 млн барелів бензину, дизельного, авіаційного пального, мазуту для опалення будинків із узбережжя Мексиканської затоки до Східного узбережжя – з Техасу до Нью-Джерсі. Трубопровід забезпечує гасом великі аеропорти, чимало з яких мають обмежені запаси на місці. Зупинка постачання, зокрема, може вплинути на роботу аеропорту в Атланті.
Нині система залишається паралізованою. Компанія змогла розпочати експлуатацію деяких допоміжних ліній і каже, що планує відновити роботу до кінця тижня.
ТЕМНИЙ БІК «РОБІНГУДІВ»
DarkSide – це програма-вимагач із високим ризиком, яка почала атакувати організації по всьому світу в серпні 2020 року. Вважається, що нею керують колишні партнери інших компаній-вимагачів.
Ця група хакерів, як повідомляється на сайті технологічних новин BleepingComputer, уже зібрала мільйони доларів за свої кібератаки і заявила про себе в «пресрелізі»: «Ми новий продукт на ринку, але це не означає, що в нас немає досвіду й ми прийшли нізвідки. Ми отримали прибуток у мільйони доларів, співпрацюючи з відомими криптолокаторами. Ми створили DarkSide, бо не знайшли для себе ідеального продукту. Тепер він у нас є».
Як і їхні «колеги», дарксайдівці не тільки шифрують (блокують за допомогою шифру) інформацію користувача, а й вилучають дані з уражених серверів.
Зашифровані файли можуть мати різні формати – аудіо-, відеофайли, фотографії, архіви, інші документи тощо. Вірус змінює їхнє розширення на DarkSide.
Створюється спеціальний файл README.xxxxxxx.TXT, що містить вичерпну інформацію про те, що сталося, і про вартість викупу.
У примітці нижче вказані адреси, за якими жертви можуть зв’язатися зі злочинцями.
Цікаво, що вимагач DarkSide, на відміну від інших програм, Maze чи Clop, хоче виглядати як «робінгуд», розповідає про те, що не можна чіпати певні домени, у тому числі урядові, некомерційні, медичні та освітні.
Більше того, стверджує, що має відповідний етичний кодекс.
За словами хакерів, перед атакою на організацію вони перевіряють її рахунки, аби переконатися, що підприємство може дозволити собі заплатити викуп, оскільки «не хочуть убивати ваш бізнес».
Благородні й шляхетні… Частину зароблених грошей нібито передають благодійним організаціям.
Шантаж полягає в тому, що вони погрожують жертві оприлюднити дані через Даркнет, розсилати їх її клієнтам та у ЗМІ, якщо не отримують викуп.
Хакери стверджують, що самі були здивовані зупинкою трубопроводу: у цьому, за їхніми словами, потреби не було.
«Ми аполітичні, ми не беремо участі в геополітиці, не потрібно пов’язувати нас із певним урядом і шукати мотиви, – ідеться в заяві, оприлюдненій у Даркнеті. – Наша мета – заробляти гроші, а не створювати проблеми для суспільства. Відсьогодні ми запроваджуємо модерацію і перевіряємо кожну компанію, яку наші партнери хочуть шифрувати, аби уникнути соціальних наслідків у майбутньому».
Їхні вимоги щодо викупу варіюють від 200 тисяч до 2 мільйонів доларів.
Відзначається, що група націлена лише на англомовні сайти й уникає ресурсів, які використовують російську мову як основну, що слугує додатковим доказом її причетності до Росії.
Головна мета «інфікування» вірусом для DarkSide – проникнення в комп’ютерну систему жертви, наприклад, через надіслані документи. Такі документи можуть бути доставлені електронною поштою і виглядати як цілком пристойні файли.
Коли користувачі завантажують і запускають їх, комп’ютер миттєво заражається.
Шкідливі програми також часто встановлюються випадково через фальшиві програми оновлення.
DarkSide має власний вебсайт у Даркнеті, на якому розміщено масу викрадених даних жертв, які не сплатили викуп.
ПІДОЗРЮЄТЬСЯ РОСІЯ
Високопосадовці США вважають, що за атакою на трубопровід стоять російські кіберзлочинці, як це траплялося й у попередні рази.
Сполучені Штати мають докази, що дійові особи програми-вимагача знаходяться в Росії, хоча ще немає підтверджень, що атаку спонсорувала держава, зазначив у понеділок президент Джо Байден.
«Я збираюся зустрітися з президентом Путіним, – додав він. – Вони несуть певну відповідальність у зв’язку із цим».
Росія, як завжди, заперечила свою причетність і поскаржилася, що США більше не співпрацюють з Москвою у протидії загрозам. Одне слово, «іхтамнєт».
«Росія не має стосунку до цих хакерських атак і не має нічого спільного з попередніми хакерськими атаками, – заявив прессекретар Путіна Дмитро Пєсков. – Ми категорично не приймаємо ніяких звинувачень на свою адресу».
«Інцидент являє собою найбільшу з відомих кібератаку на енергетичний сектор США і розкриває вразливість критично важливої інфраструктури США й американських компаній перед атаками програм-вимагачів на уряд США», – ідеться в аналітичній записці приватної розвідувально-аналітичної компанії Stratfor. Відзначається, що з 2019 по 2020 рік кількість таких атак зросла на 485%.
«Це новий вид конфлікту: мова йде не про бойові кораблі, літаки й армії. Під загрозою – інфраструктура приватного сектору, – заявив незалежний сенатор Ангус Кінг у інтерв’ю CNN. – 85% кіберпростору охоплено приватним сектором... Сумна правда полягає в тому, що кіберпростір обходиться дешево. Путін може найняти 8000 хакерів за ціною одного реактивного літака». Сенатор нагадав, що близько місяця тому адміністрація Байдена запровадила санкції проти Росії за атаку через SolarWinds на адміністративні структури. «Ми повинні продовжити цю гру», – додав Кінг.
Багато конгресменів вважають, що Байдену слід докладати більше зусиль для стримування іноземних противників і захисту США від подібних атак у найближчому майбутньому.
ДЕФІЦІТ ПАЛЬНОГО І ПОЛІТИКА
На думку експертів, швидке подолання трубопровідної кризи необхідне нинішній адміністрації ще й з політичних міркувань, оскільки республіканці одразу поклали вину на демократів, які нібито довели до дефіциту пального в країні. Як розповів Укрінформу речник Українського конгресового комітету Америки Андрій Добрянський, який займається політичними питаннями в УКК, республіканці порівнюють Байдена з президентом-демократом Джиммі Картером. Той перебував при владі один термін (1977-1981 рр.), і за його правління спалахнула бензинова криза через погіршення відносин США з Іраном. За словами Добрянського, нині в південних штатах – Флориді, Південній Кароліні, Джорджії тощо, спостерігається дефіцит автомобільного пального, чого не було давно в Сполучених Штатах. Водії вистоюють довгі черги, аби заправитися пальним.
Після бензинової кризи Картер, який балотувався на другий термін, програв республіканцеві Рональду Рейгану. Нинішні республіканці сподіваються, що Байден так само, відбувши один термін, програє Трампові чи іншому висуванцеві Республіканської партії.
* * *
На сьогодні ціна на бензин зросла подекуди на 20% – з 2,48 до 2,98 долара за галон. Компанія Colonial Pipeline ще не заплатила шантажистам гроші, хоча експерти таку можливість не виключають, оскільки це може обійтися дешевше, ніж втрати від зупинення трубопроводу.
Володимир Ільченко, Нью-Йорк
Перше фото: EPA