การโจมตีด้วยแรนซัมแวร์เขย่าอเมริกา

เกือบ 3 ปีที่แล้ว ท่อส่งน้ำมัน Colonial ถูกโจมตี และต้องปิดระบบท่อส่งน้ำมันเป็นเวลา 6 วัน ส่งผลให้เกิดภาวะขาดแคลนก๊าซ วอชิงตัน ดี.ซี. และรัฐอื่นอีก 17 รัฐ ได้ประกาศภาวะฉุกเฉิน

ภาพรวมของการโจมตีท่อส่งน้ำมัน Colonial

Colonial Pipeline ตกเป็นเหยื่อของแรนซัมแวร์ในเดือนพฤษภาคม 2021 ซึ่งส่งผลกระทบต่อระบบดิจิทัลหลายระบบและบังคับให้ต้องปิดตัวลงเป็นเวลาหลายวัน เหตุการณ์นี้ส่งผลกระทบต่อทั้งผู้บริโภคและสายการบินตลอดชายฝั่งตะวันออก ถือเป็นความเสี่ยงต่อความมั่นคงของชาติ เนื่องจากท่อส่งน้ำมันจะนำน้ำมันจากโรงกลั่นไปสู่ตลาดอุตสาหกรรม เหตุการณ์นี้ทำให้ประธานาธิบดีโจ ไบเดนของสหรัฐฯ ประกาศภาวะฉุกเฉิน

Colonial Pipeline เป็นหนึ่งในท่อส่งน้ำมันที่ใหญ่ที่สุดและสำคัญที่สุดในสหรัฐอเมริกา ซึ่งเริ่มดำเนินการในปีพ.ศ. 2505 เพื่อช่วยขนส่งน้ำมันจากอ่าวเม็กซิโกไปยังรัฐต่างๆ ทางชายฝั่งตะวันออก ระบบนี้รวมท่อส่งน้ำมันยาวกว่า 5,500 ไมล์ เริ่มต้นจากเท็กซัสแล้วเคลื่อนตัวผ่านนิวเจอร์ซีย์ รับผิดชอบเชื้อเพลิงเกือบครึ่งหนึ่งของชายฝั่งตะวันออก บริษัทจัดหาน้ำมันกลั่นสำหรับใช้น้ำมันเบนซิน น้ำมันเชื้อเพลิงเครื่องบิน และน้ำมันใช้ในครัวเรือน

เมื่อวันที่ 6 พฤษภาคม 2021 กลุ่มแฮกเกอร์ DarkSide สามารถเข้าถึงเครือข่าย Colonial Pipeline และขโมยข้อมูลไปได้ 100GB ภายในเวลา 2 ชั่วโมง จากนั้นพวกเขาจึงติดมัลแวร์เรียกค่าไถ่ในเครือข่ายไอที ส่งผลกระทบต่อระบบคอมพิวเตอร์หลายระบบ รวมถึงระบบบัญชีและการเรียกเก็บเงิน

Colonial Pipeline ต้องปิดท่อส่งน้ำมันเพื่อหยุดการแพร่กระจายของแรนซัมแวร์ จากนั้นบริษัทรักษาความปลอดภัย Mandiant ได้รับการเรียกตัวเข้ามาสอบสวนการโจมตีครั้งนี้ เอฟบีไอ หน่วยงานความมั่นคงไซเบอร์และโครงสร้างพื้นฐาน กระทรวงพลังงาน และกระทรวงความมั่นคงแห่งมาตุภูมิ เข้าร่วมด้วยเช่นกัน

เมื่อวันที่ 7 พฤษภาคม 2021 บริษัทท่อส่งน้ำมันที่ใหญ่ที่สุดในสหรัฐอเมริกาต้องจ่ายค่าไถ่จำนวน 75 Bitcoin มูลค่าประมาณ 4.4 ล้านเหรียญสหรัฐให้กับแฮกเกอร์เพื่อให้ได้คีย์การถอดรหัส ท่อส่งน้ำมันเริ่มดำเนินการอีกครั้งตั้งแต่วันที่ 12 พฤษภาคม 2564

ในระหว่างการพิจารณาคดีต่อหน้ารัฐสภาสหรัฐฯ เมื่อวันที่ 8 มิถุนายน 2021 ชาร์ลส์ คาร์มากัล รองประธานอาวุโสและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Mandiant กล่าวว่าผู้โจมตีได้เจาะระบบเครือข่ายโดยใช้รหัสผ่านบัญชี VPN ที่รั่วไหล องค์กรจำนวนมากใช้ VPN เพื่อเข้าถึงเครือข่ายองค์กรจากระยะไกลอย่างปลอดภัย

ตามคำให้การของ Carmakal พนักงานของ Colonial Pipeline ดูเหมือนว่าจะแชร์รหัสผ่าน VPN กับบัญชีอื่น แต่รหัสผ่านดังกล่าวกลับถูกเปิดเผยในเหตุการณ์ละเมิดข้อมูลอีกครั้ง การใช้รหัสผ่านเดียวกันสำหรับบัญชีหลายบัญชีเป็นความผิดพลาดที่หลาย ๆ คนมักทำ

นอกจากนี้ ในระหว่างการพิจารณาคดี โจเซฟ บลันท์ ประธานเจ้าหน้าที่บริหารบริษัท Colonial Pipeline ยังได้อธิบายว่าทำไมเขาจึงตัดสินใจจ่ายค่าไถ่ ในขณะที่ถูกโจมตี เขาไม่ทราบว่าการแพร่กระจายนั้นครอบคลุมขอบเขตแค่ไหน หรือต้องใช้เวลานานแค่ไหนในการฟื้นฟูระบบ เขาจึงตัดสินใจเช่นนั้นโดยหวังว่าจะช่วยให้การฟื้นตัวของเขาเร็วขึ้น

หลังจากติดตามการชำระเงิน กระทรวงยุติธรรมของสหรัฐฯ ก็ค้นพบที่อยู่ดิจิทัลของกระเป๋าเงินที่ผู้โจมตีใช้ และได้รับคำสั่งศาลให้ยึด Bitcoin ผลลัพธ์คือแคมเปญนี้สามารถกู้คืน Bitcoin ได้ 64/75 เหรียญ คิดเป็นมูลค่าประมาณ 2.4 ล้านเหรียญสหรัฐ

“มรดก” ของการโจมตีท่อส่งน้ำมันอาณานิคม

เป็นครั้งแรกที่แรนซัมแวร์ดึงความสนใจของคนทั้งประเทศมาที่สหรัฐอเมริกา ซึ่งทำให้รัฐสภาต้องออกกฎหมายใหม่ และทำให้หน่วยงานของรัฐบาลกลางหลายแห่งต้องแนะนำข้อกำหนดด้านความปลอดภัยทางไซเบอร์ใหม่ๆ การโจมตีด้วยแรนซัมแวร์ไม่ใช่เรื่องใหม่ แต่มันได้สร้างความเสียหายให้กับรัฐบาล สถานพยาบาล และโรงเรียน ก่อนที่ Colonial Pipeline จะตกเป็นเหยื่อ อย่างไรก็ตาม ความแตกต่างอยู่ที่ผลกระทบในระดับภูมิภาค ตามที่ Ben Miller รองประธานฝ่ายบริการของบริษัทความปลอดภัยโครงสร้างพื้นฐาน Dragos กล่าว

“ในเวลาต่อมาฉันเรียนรู้ว่าจะมีการให้ความสนใจในระดับหนึ่งเมื่อบางสิ่งบางอย่างส่งผลกระทบจริงต่อชีวิตของผู้คน” ชาร์ลส์ คาร์มาคัล รองประธานอาวุโสของบริษัทรักษาความปลอดภัย Mandiant ซึ่งเป็นผู้ช่วยในการสืบสวนเหตุการณ์ที่โคโลเนียล กล่าว เมื่อเป็นเรื่องของแก๊สและเนื้อสัตว์ ผู้คนจะใส่ใจมาก

เนื่องจากเหตุการณ์ที่ท่อส่งน้ำมัน Colonial ทำให้สายการบินหลายแห่งขาดแคลนน้ำมันเชื้อเพลิง และสนามบินบางแห่งต้องจำกัดการให้บริการ ความกังวลเกี่ยวกับปัญหาการขาดแคลนน้ำมันเบนซินทำให้เกิดความตื่นตระหนกในหมู่ประชาชน ส่งผลให้มีผู้เข้าแถวรอเติมน้ำมันเป็นเวลานานในหลายรัฐ นอกจากนี้ราคาเฉลี่ยที่สถานีสูบน้ำยังพุ่งสูงขึ้นจากเหตุท่อส่งน้ำขัดข้อง ในบางรัฐ ผู้คนยังเทน้ำมันเบนซินลงในถุงพลาสติก จนทำให้คณะกรรมการความปลอดภัยผลิตภัณฑ์เพื่อผู้บริโภคของสหรัฐฯ จำเป็นต้องออกคำเตือนให้ใช้เฉพาะภาชนะที่ออกแบบมาสำหรับน้ำมันเบนซินโดยเฉพาะเท่านั้น

การโจมตีท่อส่งน้ำมัน Colonial บังคับให้ทุกคนต้องคำนึงถึงความเสี่ยงด้านความปลอดภัยอย่างจริงจัง และต้องนำนโยบายที่เคยถูกมองข้ามมาใช้ Mike Hamilton อดีตเจ้าหน้าที่รักษาความปลอดภัยสารสนเทศประจำเมืองซีแอตเทิล กล่าวว่า การให้รัฐบาลกลางให้ความสำคัญกับความต้องการด้านความปลอดภัยโครงสร้างพื้นฐานที่สำคัญเป็นงานที่ยาก

คดีที่เกิดขึ้นตามมาในช่วงปลายปี 2021 ซึ่งรวมถึงคดีที่ตั้งเป้าไปที่ผู้ผลิตเนื้อสัตว์ JBS Foods ทำให้ผู้กำหนดนโยบาย หน่วยงานกำกับดูแล และผู้บริหารต้องเผชิญกับแรงกดดันมากขึ้น พวกเขาเป็นตัวเร่งให้ผู้นำพิจารณาแผนตอบสนองต่อแรนซัมแวร์ของตนเองอีกครั้ง ตามที่มิลเลอร์กล่าวไว้ ระดับของความเอาใจใส่ในการวางแผนการตอบสนองนั้นมีความละเอียดเพิ่มมากขึ้นมาก

อย่างไรก็ตาม กฎระเบียบและอุตสาหกรรมยังต้องมีการเปลี่ยนแปลง เวนดี้ วิทมอร์ รองประธานอาวุโสฝ่ายข่าวกรองด้านภัยคุกคามของ Palo Alto Networks Unit 42 เชื่อว่าควรมีข้อตกลงพหุภาคีระหว่างประเทศเพื่อปราบปรามแรนซัมแวร์

(ตามข้อมูลของ Axios, Tech Target)