Почти три года назад трубопровод Colonial подвергся нападению, в результате чего пришлось на шесть дней остановить подачу топлива, что привело к дефициту газа. Вашингтон, округ Колумбия, и 17 других штатов объявили чрезвычайное положение.

Обзор атаки на трубопровод Colonial

В мае 2021 года компания Colonial Pipeline стала жертвой вируса-вымогателя, в результате чего несколько цифровых систем были атакованы и компания была вынуждена отключиться на несколько дней. Инцидент затронул как потребителей, так и авиакомпании Восточного побережья. Это считается риском для национальной безопасности, поскольку трубопровод транспортирует нефть с нефтеперерабатывающих заводов на промышленные рынки. Это побудило президента США Джо Байдена объявить чрезвычайное положение.

Колониальный трубопровод — один из крупнейших и важнейших нефтепроводов в Соединенных Штатах, который начал работу в 1962 году для транспортировки нефти из Мексиканского залива в штаты Восточного побережья. Система включает в себя более 5500 миль трубопроводов, начинающихся в Техасе и проходящих через Нью-Джерси, обеспечивая почти половину топлива на Восточном побережье. Компания поставляет очищенную нефть для бензина, авиационного топлива и бытового масла.

На многих заправочных станциях в американских штатах закончилось топливо из-за закрытия системы Colonial Pipeline, май 2021 г. Фото: NBC News

6 мая 2021 года хакерская группа DarkSide получила доступ к сети Colonial Pipeline и за 2 часа похитила 100 ГБ данных. Затем они заразили ИТ-сеть вирусом-вымогателем, поразив несколько компьютерных систем, включая бухгалтерский учет и выставление счетов.

Компании Colonial Pipeline пришлось закрыть трубопровод, чтобы остановить распространение вируса-вымогателя. Для расследования нападения была вызвана охранная фирма Mandiant. В мероприятии также приняли участие ФБР, Агентство по кибербезопасности и безопасности инфраструктуры, Министерство энергетики и Министерство внутренней безопасности.

7 мая 2021 года крупнейшей трубопроводной компании США пришлось заплатить хакерам выкуп в размере 75 биткоинов на сумму около 4,4 миллиона долларов, чтобы получить ключ дешифрования. Трубопровод был возобновлен с 12 мая 2021 года.

В ходе слушаний в Конгрессе США 8 июня 2021 года Чарльз Кармакал, старший вице-президент и главный технический директор Mandiant, заявил, что злоумышленник проник в сеть, используя раскрытый пароль учетной записи VPN. Многие организации используют VPN для безопасного удаленного доступа к корпоративным сетям.

По словам Кармакала, сотрудник Colonial Pipeline, по всей видимости, поделился паролем VPN с другой учетной записью, но этот пароль каким-то образом был раскрыт в результате другой утечки данных. Многие совершают ошибку, используя один и тот же пароль для нескольких учетных записей.

Также на слушании генеральный директор Colonial Pipeline Джозеф Блаунт объяснил, почему он решил заплатить выкуп. На момент атаки он не знал точно масштабов распространения и того, сколько времени потребуется для восстановления системы. Поэтому он принял это решение в надежде ускорить свое выздоровление.

Министерство юстиции США, отследив платеж, обнаружило цифровой адрес кошелька, использованного злоумышленником, и получило постановление суда на арест биткоинов. В результате кампании было возвращено 64/75 биткоинов на сумму около 2,4 миллиона долларов.

«Наследие» атаки на колониальный трубопровод

Впервые вирусы-вымогатели привлекли внимание всей страны к Соединенным Штатам, вынудив Конгресс принять новые законы и побудив многие федеральные агентства ввести новые требования по кибербезопасности. Атаки с использованием программ-вымогателей не являются чем-то новым: до того, как жертвой стала компания Colonial Pipeline, они уже опустошали правительства, медицинские учреждения и школы. Однако, по словам Бена Миллера, вице-президента по услугам компании Dragos, занимающейся безопасностью инфраструктуры, разница заключается в региональном влиянии.

«Позже я узнал, что существует определенный уровень внимания, когда что-то действительно влияет на жизни людей», — сказал Чарльз Кармакал, старший вице-президент охранной фирмы Mandiant, которая помогала расследовать инцидент в Колониале. Когда дело доходит до газа и мяса, люди действительно проявляют заботу».

Из-за инцидента на трубопроводе Colonial Pipeline многие авиакомпании испытывают нехватку топлива, некоторые аэропорты ограничены в работе. Опасения по поводу нехватки бензина вызвали панику среди людей, что привело к длинным очередям на заправочных станциях во многих штатах. Кроме того, средние цены на насосных станциях также резко выросли из-за перебоев в работе трубопроводов. В некоторых штатах люди даже наливают бензин в пластиковые пакеты, что вынудило Комиссию по безопасности потребительских товаров США выпустить предупреждение о необходимости использовать только емкости, специально предназначенные для бензина.

Атака на трубопровод Colonial Pipeline заставила всех серьезно отнестись к рискам безопасности и принять меры, на которые раньше не обращали внимания. По словам Майка Гамильтона, бывшего директора по информационной безопасности города Сиэтла, заставить федеральное правительство уделить первоочередное внимание требованиям безопасности критической инфраструктуры было сложной задачей.

Последующие дела в конце 2021 года, включая дело против производителя мяса JBS Foods, усилили давление на политиков, регулирующие органы и руководителей. Они побудили руководство пересмотреть собственные планы реагирования на атаки программ-вымогателей. По словам Миллера, уровень внимания к планированию реагирования стал гораздо более детальным.

Тем не менее, правила и отрасль нуждаются в изменениях. Венди Уитмор, старший вице-президент по разведке угроз в Palo Alto Networks Unit 42, считает, что необходимы многосторонние соглашения между странами для борьбы с программами-вымогателями.

(По данным Axios, Tech Target)