- Регистрация
- 17 Февраль 2007
- Сообщения
- 677
- Реакции
- 1.022
- Баллы
- 93
- Возраст
- 57
Как взлом оператора трубопроводов вынудил андеграунд запретить шифровальщики
АТАКА НА COLONIAL PIPELINE
Крупные компании и организации в последнее время нередко становятся жертвами хакерских атак. Но если одни хакерские группы обещают не атаковать сферу здравоохранения, критическую инфраструктуру и в целом стараются не привлекать к себе излишнее внимание, другие не щадят никого и даже во время пандемии коронавируса атакуют сети медицинских учреждений.Атака на компанию Colonial Pipeline, которая является крупнейшим в США оператором трубопроводов и занимается транспортировкой топлива, стала резонансным инцидентом. Из‑за этой атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в ряде штатов.
Дело в том, что инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.
В результате Федеральная администрация безопасности грузового автомобильного транспорта при Министерстве транспорта США объявила региональный режим ЧС, затрагивающий 17 штатов и округ Колумбия. Это решение было принято для оказания помощи пострадавшим районам, нуждающимся в немедленных поставках бензина, дизельного топлива, авиакеросина и других продуктов нефтепереработки.«7 мая стало известно, что компания Colonial Pipeline стала жертвой кибератаки. Мы превентивно отключили определенные системы, чтобы сдержать угрозу, которая временно прервала работу нашего трубопровода и затронула некоторые ИТ‑системы. Узнав о проблеме, мы обратились к сторонней фирме, занимающейся кибербезопасностью, и они уже начали расследование характера и масштабов этого инцидента, которое еще продолжается», — гласило официальное заявление Colonial Pipeline, сделанное сразу после инцидента.
Режим ЧС распространялся на следующие штаты и округа: Алабама, Арканзас, Вирджиния, Делавэр, Джорджия, Кентукки, округ Колумбия, Луизиана, Миссисипи, Мэриленд, Нью‑Джерси, Нью‑Йорк, Пенсильвания, Северная Каролина, Теннеси, Техас, Флорида и Южная Каролина.
Представители Colonial Pipeline уверяли, что работают с правоохранительными органами и Министерством энергетики США, чтобы постепенно вернуть в строй сегменты трубопровода и в кратчайшие сроки восстановить работу ИТ‑систем.
ВЫКУП В РАЗМЕРЕ 4,4 МИЛЛИОНА ДОЛЛАРОВ
Вскоре после того как о взломе стало известно, издание Bloomberg, со ссылкой на собственные анонимные источники, сообщило, что компания выплатила вымогателям выкуп в размере 5 миллионов долларов США. Хотя при этом Washington Post и Reuters писали, что компания не намерена вести переговоры со злоумышленниками, журналисты Bloomberg заявили, что эта информация не соответствует действительности.Почти одновременно с появлением этих сообщений в прессе Colonial Pipeline действительно удалось восстановить штатную работу своего трубопровода, и поставки нефтепродуктов были возобновлены в нормальном объеме.
Сообщение о возобновлении работы трубопровода
Несколько дней спустя глава Colonial Pipeline Джозеф Блаунт (Joseph Blount) официально подтвердил журналистам Wall Street Journal, что компания заплатила злоумышленникам 4,4 миллиона долларов США в биткойнах. По его словам, это было необходимо, чтобы как можно быстрее оправиться от атаки шифровальщика, которая оказала влияние на критически важную энергетическую инфраструктуру. Блаунт назвал выплату выкупа «правильным поступком», сделанным «ради страны».
В итоге компания действительно получила инструмент для дешифрования данных, однако он работал столь медленно, что специалисты компании были вынуждены продолжить ранее начатое восстановление систем из резервных копий.«Я знаю, это весьма спорное решение. Мне было нелегко это сделать. Признаюсь, было некомфортно наблюдать за тем, как деньги уходят к подобным людям», — рассказал Блаунт, заявив, что выкуп был выплачен еще 7 мая.
DARKSIDE
Почти сразу было известно, что за атакой на Colonial Pipeline стоят операторы шифровальщика DarkSide. Первым об этом сообщило издание Washington Post, и вскоре эту информацию официально подтвердило ФБР.Группировка, создавшая малварь DarkSide, активна с августа 2020 года и работает по схеме «вымогатель как услуга» (Ransomware as a Service, RaaS), активно рекламируя малварь в даркнете и сотрудничая с другими хак‑группами. В итоге DarkSide представляет собой классического «охотника за крупной дичью», то есть преимущественно атакует крупные корпоративные сети, шифрует данные, а затем требует у пострадавших компаний огромные выкупы. Если жертвы отказываются платить, участники DarkSide публикуют похищенные у них данные на своем сайте в даркнете.
Согласно свежему отчету компании Elliptic, занимающейся блокчейн‑анализом, к настоящему моменту хакеры успели «заработать» на выкупах около 90 миллионов долларов.
Поскольку DarkSide работал по модели RaaS, разработчики шифровальщика оставляли себе около 25% выплаченных выкупов или 10%, если выкуп превышал 5 миллионов долларов. Поэтому в Elliptic полагают, что в действительности сами хакеры «заработали» около 15,5 миллиона долларов, а остальные средства остались в руках «партнеров» группировки (злоумышленников, которые взламывают сети жертв и разворачивают в них малварь).«В общей сложности чуть более 90 миллионов долларов в биткойнах было выплачено DarkSide из 47 различных кошельков», — говорится в отчете компании.
Многие эксперты заявляли, что, атаковав Colonial Pipeline, хакеры зашли слишком далеко и теперь представляют большой интерес для правоохранительных органов США.
При этом президент США Джо Байден заявил на пресс‑конференции, что информации о причастности к этой атаке российского правительства нет, но, по данным спецслужб, участники хак‑группы могут находиться на территории России. Байден сообщал, что власти США намерены помешать работе хак‑группы, и для этого уже были проведены переговоры с Москвой.
ИСЧЕЗНОВЕНИЕ DARKSIDE
Так как атака на Colonial Pipeline привлекла внимание экспертов, спецслужб и СМИ со всего мира, уже через несколько дней хакеры поспешили выпустить заявление. Тогда как в прессе данную атаку пытались приписать российским правительственным хакерам, в «пресс‑релизе», который был опубликован на сайте DarkSide 10 мая, говорилось, что группировка аполитична и преследует исключительно собственные цели. Также хакеры, похоже, были не рады тому, какой хаос спровоцировали их действия. Они пообещали впредь внимательнее проверять будущие цели:«Мы аполитичны, не связаны с геополитикой, и не нужно связывать нас с определенными правительствами и искать другие мотивы. Наша цель — зарабатывать деньги, а не создавать проблемы для общества.
С сегодняшнего дня мы вводим модерацию и будем проверять каждую компанию, которую наши клиенты хотят зашифровать, чтобы избежать подобных социальных последствий в будущем».
14 мая 2021 года операторы DarkSide обнародовали еще одно сообщение, в котором заявили, что они утратили контроль над своими веб‑серверами и средствами, полученными в результате выплаты выкупов, и теперь прекращают работу.
«Несколько часов назад мы потеряли доступ к публичной части нашей инфраструктуры, а именно: к блогу, платежному серверу, серверам CDN. Теперь эти серверы недоступны через SSH, а панели хостинга заблокированы», — писал оператор DarkSide, известный как Darksupp, а также жаловался на то, что провайдер хостинга отказался помогать.
Кроме того, хакеры утверждали, что с сервера, где размещались полученные выкупы, была выведена криптовалюта. По словам Darksupp, эти средства группировка должна была разделить между собой и своими «партнерами», но деньги были переведены на неизвестный кошелек.
Журналисты издания The Record отмечали, что американские власти просто не успели бы предпринять никаких мер против хак‑группы так быстро и операторы DarkSide могли воспользоваться заявлениями президента Байдена в качестве прикрытия. То есть группировка сама заблокировала собственную инфраструктуру и скрылась с деньгами, не заплатив «партнерам» (классический exit scam).
Продолжение в следующем посте