Атака хакеров на Colonial Pipelane: крупнейший топливный оператор США пал
В пятницу 7 мая один из самых крупных топливных операторов США – компания Colonial Pipelane сообщила о том, что ее инфраструктура подверглась атаке со стороны группировки хакеров.
Известно, что Colonial Pipelane, которая была создана еще в 1962 году, и перевозящая не менее 45 процентов бензина, дизеля и реактивного топлива, имеющая систему трубопроводов свыше 5500 миль, является одним из наиболее крупных поставщиков горючего на Восточном побережье США.
Понятно, почему целью хакеров была выбрана именно она, поскольку сбой в работе оператора мог привести к нарушению цепочки поставок горючего почти по всей стране и серьезному повышению цены на топливо.
Самое интересное, что нападение случилось после того, как еще несколько недель назад представители администрации Байдена анонсировали ряд мер по совершенствованию систем кибербезопасности энергетических корпораций. Одновременно власти США призвали их обновить свои протоколы безопасности, и поставить новые модули защиты от взлома (Cybersecurity: Biden administration unveils effort to strengthen cybersecurity of power grid — CNNPolitics).
Что именно случилось 7 мая
Представители Colonial Pipelane Company сообщили в пятницу, что они вынуждены закрывать трубопровод и прекращать поставки горючего. Так как каждый день компания осуществляет перевозку более 100 миллионов галлонов горючего в терминалы в Нью-Йорке с баз Хьюстона, прекращение поставок вызвало сбой в работе множества подрядчиков.
Вечером 7 мая в компании сообщили о том, что отключили основные системы, чтобы не дать программе-вымогателю разрушить всю инфраструктуру. По словам руководства, они предприняли все усилия для того, чтобы решить вопрос с восстановлением системы в нормальном режиме.
В субботу 8 мая доклад об инциденте был представлен Президенту Д. Байдену. Белый дом решил объявить чрезвычайное положение на Восточном побережье страны до восстановления нормального режима работы оператора.
9 мая менеджмент Colonial Pipelane сообщил о том, что они разработали план, призванный восстановить трубопроводную систему. Пока же основные компоненты отключены, функционируют только небольшие сегменты и терминалы, где отгружают топливо. По словам руководителей Colonial Pipelane, им неизвестно, когда система заработает в полную мощность. Для этого потребуется полная проверка всех IT-систем, заключение Министерства энергетики США, согласно установленным нормативным предписаниям.
Кто провел такую успешную кибероперацию против крупнейшего трубопроводного топливного оператора США?
Точных данных пока нет. Однако, как утверждают представители властей, это может быть знаменитая кибергруппировка DarkSide, базирующаяся в РФ (Colonial pipeline: Cyberattack forces major US fuel pipeline to shut down — CNNPolitics).
Известно, что DarkSide предпринимает атаки на государства, которые враждебно относятся к РФ. Программа-вымогатель, внедренная через бреши в системе безопасности, нарушила работу основных IT-систем компании, вынудив оператора приостановить работу почти всей инфраструктуры.
Было похищено не менее 100 гигабайт данных из сети Alpharetta в Джорджии. Компании пригрозили, что они уйдут в сеть, а часть данных останутся блокированными в сети оператора, до тех пор, пока не будет уплачен выкуп. Размер выкупа неизвестен.
Из-за такой мощной и неожиданной атаки администрация Белого дома была вынуждена сформировать оперативную рабочую группу, включающую в свой состав представителей ФБР, Министерств юстиции, транспорта, Агентства по кибербезопасности, прочих профильных ведомств.
Что предпринимается для восстановления работы?
9 мая в Белом доме сообщили, что принимаются все меры, чтобы восстановить работу крупнейшего поставщика топлива. Возглавляет группу Министерство энергетики, совместно с ФБР.
Вечером 9 мая Colonial Pipelane сообщила о том, что ею была нанята компания FyreEye Mandiant для того, чтобы вести частное расследование этого взлома. Пока же персонал предпринимает дополнительные меры, чтобы обеспечить защиту остальных системе трубопровода.
К работе подключены сотрудники Агентства по кибернетической безопасности. Как указывает Э. Голдштейн, помощник директора CISA, координируются усилия со всеми ведомствами, которые могут помочь. Ведется работа с другими энергетическими корпорациями, чтобы и они приняли меры по защите своих систем. Белый дом продолжает анализ ситуации, разрабатываются сценарии реагирования на угрозу.
Что будет потом?
Стоит отметить, что с каждым годом число атак программ-вымогателей растет США. Они проникают в правительственные системы, управления полиции, медицинские центры. Вредоносное ПО осуществляет блокировку IT-систем, требуя выкуп, как правило, в Bitcoin.
Пока властям не удается противопоставить эффективную защиту. О том, что к таким атакам причастны военные программисты из КНДР было известно давно. Сейчас к ним по всей видимости подключились хакеры из РФ. Какие последуют ответные меры, не сообщается. Вероятнее всего администрация Белого Дома введет новый пакет санкций против ряда компаний из РФ. Возможно будут и непубличные атаки на энергетическую инфраструктуру России, с целью дестабилизации ее работы. Горячая фаза кибернетической войны между странами получила новый виток развития.
Подписывайтесь на Фридман клаб в соцсетях и наш Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman
Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News
