Почти три года назад трубопровод Colonial Pipeline подвергся нападению и был закрыт на шесть дней, что привело к дефициту газа. Вашингтон, округ Колумбия, и 17 других штатов объявили чрезвычайное положение.

Обзор атаки на трубопровод Colonial

Colonial Pipeline подвергся атаке вируса-вымогателя в мае 2021 года, что повлияло на несколько цифровых систем и заставило его закрыться на несколько дней. Инцидент затронул как потребителей, так и авиакомпании вдоль Восточного побережья. Он считался угрозой национальной безопасности, поскольку трубопровод транспортирует нефть с нефтеперерабатывающих заводов на промышленные рынки, что побудило президента США Джо Байдена объявить чрезвычайное положение.

Colonial Pipeline — один из крупнейших и важнейших нефтепроводов в США, открытый в 1962 году для транспортировки нефти из Мексиканского залива на Восточное побережье. Система состоит из более чем 5500 миль трубопровода, начинающегося в Техасе и проходящего через Нью-Джерси, и отвечает за почти половину топлива на Восточном побережье. Он поставляет очищенную нефть для бензина, реактивного топлива и домашнего масла.

На многих заправочных станциях в американских штатах закончилось топливо из-за закрытия системы Colonial Pipeline, май 2021 г. Фото: NBC News

6 мая 2021 года хакерская группа DarkSide получила доступ к сети Colonial Pipeline, украв 100 ГБ данных в течение 2 часов. Затем они заразили IT-сеть вирусом-вымогателем, поразив несколько компьютерных систем, включая бухгалтерский учет и выставление счетов.

Colonial Pipeline пришлось закрыть трубопровод, чтобы остановить распространение вируса-вымогателя. Затем для расследования атаки была вызвана охранная фирма Mandiant. В расследовании также приняли участие ФБР, Агентство по кибербезопасности и безопасности инфраструктуры, Министерство энергетики и Министерство внутренней безопасности.

7 мая 2021 года крупнейшей трубопроводной компании США пришлось заплатить хакерам выкуп в размере 75 биткоинов на сумму около $4,4 млн, чтобы получить ключ дешифрования. Трубопровод возобновил работу с 12 мая 2021 года.

На слушаниях в Конгрессе США 8 июня 2021 года Чарльз Кармакал, старший вице-президент и главный технический директор Mandiant, заявил, что злоумышленник проник в сеть, используя утекший пароль от учетной записи VPN. Многие организации используют VPN для удаленного доступа к защищенным корпоративным сетям.

Согласно показаниям Кармакала, сотрудник Colonial Pipeline, по-видимому, поделился паролем VPN с другим аккаунтом, но этот пароль каким-то образом был раскрыт в результате другой утечки данных. Распространение пароля между несколькими аккаунтами — ошибка, которую совершают многие люди.

Также на слушаниях генеральный директор Colonial Pipeline Джозеф Блаунт объяснил, почему он решил заплатить выкуп. На момент атаки он не знал, насколько широко распространилось заражение и сколько времени потребуется на восстановление системы. Поэтому он принял решение в надежде ускорить время восстановления.

Министерство юстиции США, отследив платеж, обнаружило цифровой адрес кошелька, использованного злоумышленником, и получило постановление суда об изъятии биткоинов. В результате операции было изъято 64/75 биткоинов на сумму около 2,4 млн долларов.

«Наследие» атаки на колониальный трубопровод

Программы-вымогатели — это первый случай, когда страна обратила на них внимание, заставив Конгресс принять новые законы и побудив федеральные агентства принять новые требования по кибербезопасности. Атаки программ-вымогателей не являются чем-то новым — они опустошали правительства, медицинские учреждения и школы до Colonial Pipeline. Но разница заключается в региональном воздействии, сказал Бен Миллер, вице-президент по услугам в фирме по безопасности инфраструктуры Dragos.

«Позже я узнал, что существует определенный уровень внимания, когда есть реальное влияние на жизни людей», — сказал Чарльз Кармакал, старший вице-президент охранной фирмы Mandiant, которая помогала расследовать инцидент в Колониале. «Когда дело касается газа и мяса, люди действительно заботятся».

Инцидент с трубопроводом Colonial Pipeline привел к тому, что многие авиакомпании остались без топлива, а некоторые аэропорты были ограничены. Опасения по поводу нехватки бензина вызвали панику и длинные очереди на заправочных станциях во многих штатах. Средние цены на АЗС также резко возросли из-за отключения трубопровода. В некоторых штатах люди даже наливали бензин в пластиковые пакеты, что побудило Комиссию по безопасности потребительских товаров США выпустить предупреждение использовать только специальные емкости для бензина.

Атака на трубопровод Colonial Pipeline заставила всех серьезно отнестись к рискам безопасности и принять политику, на которую раньше не обращали внимания. По словам Майка Гамильтона, бывшего главного специалиста по информационной безопасности города Сиэтл, добиться от федерального правительства приоритетности требований безопасности критической инфраструктуры было сложной задачей.

Последующие инциденты в конце 2021 года, включая инцидент с производителем мяса JBS Foods, оказали большее давление на политиков, регулирующие органы и руководителей. Они стали катализатором для руководителей, чтобы пересмотреть свои собственные планы реагирования на вирусы-вымогатели. Миллер сказал, что уровень интереса к планам реагирования стал гораздо более подробным.

Тем не менее, необходимы регулирование и изменение отрасли. Венди Уитмор, старший вице-президент по разведке угроз в Palo Alto Networks Unit 42, заявила, что должны быть многосторонние соглашения между странами для борьбы с программами-вымогателями.

(По данным Axios, Tech Target)