По мнению нескольких экспертов по кибербезопасности, взлом Colonial Pipeline был не первым домино, которое пало в бесконечной череде внезапных атак на критически важную инфраструктуру Америки.
По их словам, это, скорее, результат небрежной практики внутренней безопасности и взлома учебников, пошедшего не так, как надо.
ФБР заявляет, что за атакой стоит DarkSide, группа, относительно недавно связанная с программами-вымогателями. Признаки указывают на то, что это случай неумелого вымогательства, а не скоординированная работа хакеров, намеревающихся взломать энергосистему Америки.
Какой бы ни была мотивация, влияние было реальным.
Федеральное правительство опубликовало объявление о чрезвычайной ситуации для 17 штатов и округа Колумбия после того, как обрушился крупнейший в стране топливопровод. О повышении цен на бензин и его дефиците сообщалось по всей территории США, хотя сокращение предложения, вероятно, больше связано с паническими покупателями, направляющимися к заправке, чем с самой атакой. Colonial заплатила почти 5 миллионов долларов в качестве выкупа за разблокировку своих систем, сообщил CNBC источник, знакомый с ситуацией, подтвердив предыдущие сообщения.
Хотя этот эпизод показал, насколько уязвима критическая инфраструктура Америки для киберпреступников, это не означает, что мы внезапно столкнулись с новым риском массовых отключений. Подобные атаки программ-вымогателей распространены, но обычно они не нацелены на отключение инфраструктуры. Похоже, что DarkSide, как и большинство злоумышленников, был мотивирован финансовой выгодой, а не нарушением поставок газа из Америки.
Атака привлекла внимание нового правительства к резкому увеличению числа атак с использованием программ-вымогателей и побудила президента Джо Байдена подписать в среду указ , направленный на усиление киберзащиты.
«В зависимости от реакции правительства США на [атаку на колониальный трубопровод], это действительно может заставить другие группы сказать:« Эй, мы вообще не собираемся атаковать эти сектора », — сказал Рик Холланд, директор по информационной безопасности Digital Shadows, разведывательная компания киберугроз.
Обычная атака
Хотя последствия этого взлома были ужасными, тип атаки не был новым или уникальным. Фактически, атаки программ-вымогателей, когда преступники устанавливают программное обеспечение, которое замораживает или блокирует компьютерные системы до тех пор, пока компания не заплатит им выкуп, обычно в биткойнах или другой криптовалюте, происходят постоянно.
«Все сообщают об этой атаке программы-вымогателя, потому что она затрагивает сети, связанные с нефтепроводом», — сказала Кэти Никелс, директор по разведке компании Red Canary, занимающейся кибербезопасностью.
«Меня и многих других профессионалов в области кибербезопасности интересует то, что эти атаки программ-вымогателей продолжаются годами. И похоже, что этот, только потому, что в нем задействована критическая инфраструктура в США, задел особую нервозность ».
В частности, в последние полтора года наблюдается стремительный рост атак такого типа, сказал бывший сотрудник ЦРУ Питер Марта, который теперь консультирует компании по вопросам управления киберрисками в качестве партнера юридической фирмы Hogan Lovells.
Сейчас мы находимся в эпицентре эпидемии программ-вымогателей.Питер МартаПАРТНЕР, HOGAN LOVELLS
«Для обычного человека это большая новость, — сказала Марта. «Но когда я услышал об этом, это даже не было отметкой на радаре. … Отсутствует понимание того, что сейчас мы находимся в эпицентре эпидемии вымогателей ».
Но даже несмотря на то, что количество воздушных шаров кибератак, число, предназначенное для выхода из строя систем, невелико, сказал Серджио Кальтаджироне, который восемь лет проработал аналитиком в Агентстве национальной безопасности, где он отвечал за обнаружение, отслеживание и противодействие самым большим в мире. сложные киберугрозы.
«В промышленном пространстве количество кибератак, которые были разработаны, чтобы нанести ущерб промышленным системам, таким как вода, электроэнергия, нефть и газ … даже намного, намного, намного, намного, намного меньше», — продолжил Кальтаджироне, который также был директор по анализу угроз в Microsoft, а в настоящее время является вице-президентом по анализу угроз в Dragos, фирме по промышленной кибербезопасности.
«Самая высокая вероятность того, что действительно крупное разрушительное событие, подобное этому, произойдет снова в будущем, — это непреднамеренные атаки, подобные этой».
Небрежная защита
Физическая инфраструктура Америки обычно уязвима, и особенно трудно защищать трубопроводы. Хотя это не очень хорошая новость, но так было уже много лет, и злоумышленникам это давно известно. Атака на прошлой неделе не изменила этого и не раскрыла никакой новой информации.
Лео Симонович, глава отдела промышленной кибербезопасности в Siemens Energy, сказал CNBC, что отчасти проблема заключается в том, что, когда нефтегазовые компании связывают физические активы, такие как трубопроводы, с цифровым программным обеспечением и приложениями, они, по сути, просто прикрепляют цифровые решения поверх стареющих активов.
«Это создает ситуацию, когда трудно вовремя обнаружить угрозы, чтобы их остановить и — в некоторых случаях — даже применить элементарные меры гигиены, чтобы защитить себя», — сказал Симонович.
Эта атака была нацелена на традиционную сеть информационных технологий компании, а не на ее операционную технологическую сеть, то есть на системы, которые перемещают клапаны, запускают и останавливают насосы, измеряют объекты и т. Д. Colonial Pipeline, а не DarkSide, призвала закрыть свою сеть ОТ и конвейер после обнаружения нарушения.
Это стандартная практика, но это не означает, что сама сеть ОТ была уязвима, говорит Симонович. «В результате этой атаки, как и других атак, операторы в конечном итоге закрывают все свое производство OT, потому что они не могут быть уверены в том, на что повлияла атака, и как реагировать».
На прошлой неделе киберпреступники, скорее всего, не узнали ничего нового. Трубопроводы сильно отличаются друг от друга, потому что они построены специально. Атака на один конкретный тип топливопровода не обязательно приведет к атаке на другой.
Более того, поскольку злоумышленники обычно хотят узнать о сетях своих жертв до начала атаки, у защитников обычно есть множество возможностей найти и остановить цепочку атак программ-вымогателей, прежде чем они дойдут до точки кражи и шифрования данных.
«Сеть просто не просыпается однажды утром и не получает« выкуп »из ниоткуда», — сказал Никелс. «Он должен пройти через всю цепочку атак. … У защитников так много возможностей остановить эту программу-вымогатель ».
Часто программы-вымогатели проникают через фишинговую электронную почту или сетевое соединение, не защищенное двухфакторной аутентификацией. Никелс говорит, что простые гигиенические приемы могут остановить этот первоначальный доступ.
Сеть просто не просыпается однажды утром и не получает «выкуп» из ниоткуда.Кэти НикелсДИРЕКТОР ПО РАЗВЕДКЕ, КРАСНАЯ КАНАРЕЙКА
«Я думаю, что вокруг много страха, и многие люди напуганы … но эти вторжения программ-вымогателей можно обнаружить на ранней стадии», — продолжил Никелс. «Обнаружить этих операторов вполне реально. … Вы можете найти их и остановить, пока не стало так плохо ”.
Ключевым моментом является наличие достаточного количества рабочей силы, и это одно место, где есть возможности для улучшения.
«TSA признало еще в 2017 году, что у них было шесть штатных сотрудников, ответственных за надзор за безопасностью 2,7 миллиона миль трубопроводов. Это то, что дает мне повод для беспокойства », — сказал Нил Чаттерджи, комиссар Федеральной комиссии по регулированию энергетики, агентства, которое наблюдает за критически важной безопасностью электросети.
CNBC обратился в Colonial Pipeline с вопросом о вакансии «Менеджер по кибербезопасности», которая была размещена на портале вакансий компании более тридцати дней.
Colonial Pipeline написала в электронном письме CNBC, что «позиция кибербезопасности не была создана в результате недавней атаки вымогателей». Вместо этого, по его словам, эта должность была частью его текущих усилий по набору персонала. «Это роль, которую мы хотели добавить, чтобы продолжить создание нашей нынешней команды по кибербезопасности».
Нежелательные побочные эффекты
Многие признаки указывают на то, что DarkSide не хотел, чтобы все так складывалось.
Организация утверждает, что очень заботится о своей репутации. DarkSide создал имидж «Робин Гуда» и рекламирует кодекс поведения, в котором хакеры заявляют, что не будут атаковать больницы, некоммерческие организации и — особенно — правительства.
«Наша цель — зарабатывать деньги, а не создавать проблемы для общества», — написала DarkSide на своем сайте.
В заявлении, содержащем орфографические и грамматические ошибки, говорилось, что организация не является политической и «не участвует в геополитике».
«Это вредит бренду DarkSide в целом, а DarkSide хорошо осведомлен о своем бренде», — сказал Холланд. «Они хотят иметь очень позитивный бренд, например:« Если вы заплатите нам, мы фактически расшифруем для вас ». Мы уничтожим данные, которые мы украли у вас ».
«Они не предполагали, что это станет результатом атаки, но это произошло из-за сложности систем», — сказал Кальтаджироне.
Хотя Никелс сказала, что еще рано говорить наверняка, она сказала, что DarkSide за свою десятимесячную историю, как правило, нацелена на организации, которые не представляют такой большой проблемы для национальной безопасности.
В каком-то смысле, говорит Холланд, атака имела неприятные последствия — правительство США теперь гораздо больше сосредоточено на угрозе, чем раньше, а президент Байден пообещал пресечь и привлечь к ответственности» членов DarkSide.
«Жертв достаточно, чтобы вымогать деньги, не прибегая к таким критическим объектам инфраструктуры», — пояснил Холланд. «Я думаю, что могут быть некоторые изменения таргетинга, когда они будут преследовать другие группы, которые не собираются вызывать гнев правительства США и всех возможных агентств».
В среду хакерская группа заявила, что уже атаковала еще три компании после атаки на Colonial Pipeline. Одна из компаний находится в США, одна — в Бразилии, а третья — в Шотландии. Кажется, что ни один из трех не задействован в критически важной инфраструктуре.
