" Один пароль ценой в 4 миллиона
Подробности операции, проведенной ФБР в сотрудничестве с оператором Colonial Pipeline, как ожидается, в ближайшее время раскроет Министерство юстиции США.
В настоящий момент известно, что Colonial Pipeline — крупнейшая трубопроводная система в США, поставляющая газ и нефтепродукты с заводов Мексиканского залива на Восточное побережье Америки, стала жертвой кибератаки, организаторы которой получили более 4 млн долларов в BTC.
По мнению старшего вице-президента курирующей кибербезопасность Colonial Pipeline компании Mandiant Чарльза Кармакала, преступники могли совершить кибератаку на трубопровод с помощью одного пароля, выложенного в даркнет.
Предположительно хакеры получили доступ к сетям Colonial Pipeline через личный аккаунт, позволявший сотрудникам удаленно получать доступ к компьютерным сетям компании. Не смотря на то, что к моменту атаки этот аккаунт сотрудниками уже не использовался, он все еще открывал доступ к сетям. Пароль к данному аккаунту был слит в даркнет, но кто это сделал и как хакеры сопоставили именно этот пароль с нужным логином, установить не удалось. Для входа в аккаунт компании хакерам не потребовалось прохождение многофакторной аутентификации.
Произведенная атака вынудила компанию отключить некоторые системы, чтобы сдержать угрозу, которая прервала все операции, связанные с трубопроводом. В результате простоя трубопровода в США повысились оптовые цены на бензин, возникли перебои с топливом на некоторых автозаправках, несколько авиарейсов пришлось посадить для дозаправки. Агентство по окружающей среде США с целью помочь рынку топлива приостановило действие ряда стандартов.
Впоследствии работу трубопровода удалось восстановить, однако компания была вынуждена заплатить хакерам более 4 миллионов долларов выкупа вкриптовалюте.
«Компания стала жертвой изнурительной кибератаки хакеров-вымогателей и выполнила требование о выкупе в размере 4,4 миллиона долларов, поскольку масштабы вторжения хакеров не были известны и непонятно было, сколько времени потребуется для восстановления работы», – рассказал генеральный директор Colonial Pipeline Джозеф Блаунт в интервью The Wall Street Journal.
Однако за кулисами компания предприняла первые шаги, чтобы уведомить ФБР, и выполнила инструкции, которые помогли следователям отследить платеж на криптовалютный кошелек, используемый хакерами, предположительно находящимися в России.
Переход на темную сторону силы
Официальные лица США связывают атаку на Colonial Pipeline с преступной хакерской группой, известной как Darkside, которая, как говорят, делится своими вредоносными инструментами с другими преступными хакерами.
Сообщается, что официальные лица США искали любые возможные уязвимости в операционной или личной безопасности хакеров, пытаясь установить виновных. В частности, отслеживались любые зацепки, обусловленные используемым хакерами способом перемещения деньги.
Администрация Байдена сосредоточилась на менее регулируемой архитектуре криптовалютных платежей, которая обеспечивает большую анонимность. Усилия по пресечению растущих и все более разрушительных атак программ-вымогателей наращиваются после двух крупных инцидентов в критически важной инфраструктуре.
Помимо Colonial Pipeline, жертвой кибератаки с предположительно российским следом недавно стала транснациональная компания JBC, специализирующаяся на поставках говядины и свинины. Хакеры-вымогатели взломали IT-системы крупнейшей в мире мясоперерабатывающей компании и заблокировали их путем шифрования данных. За разблокирование киберпреступники назначили высокий выкуп, точная сумма которого не разглашается.
Больше выкупов – чаще атаки
«Злоупотребление криптовалютой является здесь серьезным фактором, - сказала CNN заместитель советника по национальной безопасности Энн Нойбергер. – Вот так люди получают деньги. Благодаря росту анонимности и криптовалют, распространению сервисов, которые по сути отмывают деньги».
«Отдельные компании испытывают давление, особенно если они не выполнили работу по обеспечению кибербезопасности, они вынуждены выплатить выкуп и двигаться дальше, - добавила Нойбергер. – Но в долгосрочной перспективе это то, что является движущей силой продолжающихся атак с требованием выкупа. Чем больше людей получают такие выкупы, тем чаще будут повторяться такого рода ситуации и тем значительнее будут выкупы».
Администрация Байдена ясно дала понять, что ей нужна помощь частных компаний, чтобы остановить волну атак программ-вымогателей, однако стало очевидно, что федеральные агентства умеют отслеживать валюту, используемую для выплат группам вымогателей.
Тем не менее, способность правительства эффективно реагировать на атаки программ-вымогателей сильно зависит от конкретной ситуации, заявили CNN два источника. Один из них отметил, что помощь в возвращении денег, выплаченных злоумышленникам, безусловно, является областью, в которой правительство США может оказать содействие, но успех значительно варьируется и во многом зависит от того, есть ли в системе злоумышленников дыры, которые можно выявить и использовать.
В некоторых случаях официальные лица США могут находить операторов программ-вымогателей и управлять их сетью в течение нескольких часов после атаки, пояснил один из источников, отметив, что это позволяет соответствующим агентствам отслеживать коммуникации злоумышленника и потенциально выявлять дополнительных ключевых игроков в группе, ответственной за атаку.
Источники добавили, что когда участники программ-вымогателей уделяют больше внимания своей операционной безопасности, в том числе, осторожнее перемещают деньги, нарушение работы их сетей или отслеживание валюты усложняется.
«Это действительно смешанная картина», - сказали эксперты CNN, имея в виду разную степень изощренности, продемонстрированную группами, участвовавшими в этих атаках.
Один из источников также предостерег от того, чтобы слишком много внимания уделять действиям правительства США, заявив, что уникальные обстоятельства каждого нападения и уровень детализации, необходимый для эффективных действий против этих групп, являются одной из причин, по которым нельзя всегда эффективно противодействовать атакам программ-вымогателей.
«Потребуются усиленная защита, снижение прибыльности программ-вымогателей и целенаправленные действия против злоумышленников, чтобы остановить это», - добавил источник, дав понять, что прерывание и отслеживание платежей в криптовалюте - это только одна часть уравнения.
Это мнение разделяют эксперты по кибербезопасности, которые согласны с тем, что злоумышленники используют криптовалюту для отмывания своих транзакций.
«В эпоху биткойнов отмывание денег - это то, что может сделать любой ботаник. Вам больше не нужен большой аппарат организованной преступности», - говорит Алекс Стамос, бывший начальник службы безопасности Facebook и соучредитель Krebs Stamos Group.
«Единственный способ, которым мы сможем дать отпор этому как всему обществу, - это сделать это незаконным... Я действительно думаю, что мы должны объявить [такие] платежи вне закона, - добавил он. – Это будет действительно сложно. Первые компании, которые пострадают, когда станет незаконным совершать такие платежи, окажутся в очень тяжелом положении. И мы увидим много боли и страданий».
