Хакеры DarkSide напомнили о системных проблемах американской инфраструктуры

Недавняя кибератака на нефтепродуктопровод Colonial Pipeline, обеспечивающий горючим восточные штаты США, могла привести к куда более плачевным последствиям, чем несколько дней очередей на заправках и временное повышение цен на бензин, предупреждают американские эксперты. Из их комментариев можно сделать вывод, что оператор трубопровода своевременно принял решение о его остановке до того, как вредоносные программы проникли глубоко в ИТ-систему, но это вовсе не снимает вопрос, почему атака анонимных хакеров на критически важный объект инфраструктуры вообще оказалась возможной. Никто из специалистов по кибербезопасности, высказавшихся в связи с инцидентом на Colonial Pipeline, не сомневается, что Америку и дальше ждут подобные неприятности.

Новая эра киберуязвимости

Кибератака на Colonial Pipeline — предупреждение о том, что впереди могут произойти еще худшие инциденты, отмечает в своем редакционном комментарии Financial Times. Британское издание напоминает, что в последние месяцы атакам программ-вымогателей в США подвергались больницы, школы, коммерческие компании, муниципальные органы власти, транспортная инфраструктура и т. д. И эта напасть, констатирует FT, будет продолжаться, пока в дело не вмешаются сверхдержавы.

В материале FT приводится статистика компании в области кибербезопасности Bitdefender, согласно которой в 2020 году количество зарегистрированных хакерских атак увеличилось на ошеломляющие 485% по сравнению с 2019 годом. Голландская телекоммуникационная компания KPN, отслеживавшая всего одну преступную группу REvil, установила, что в среднем она требовала отступные в размере $260 тысяч за атаку.

Началом новой эры киберуязвимости в США, по мнению FT, стал прошлогодний взлом хакерами крупной ИТ-компании SolarWinds, чье программное обеспечение используют 300 тысяч компаний по всему миру.

США неоднократно обвиняли в атаке на SolarWinds Россию, однако, отмечает FT, ни у кого нет стопроцентных доказательств этого.

Другое дело, что если анонимная хакерская группа оказалась способной остановить систему, по которой прокачивается почти половина нефтепродуктов в США, то можно только догадываться, добавляет издание, какие могут быть последствия, если кибератаку организует какое-нибудь государство с реальными ресурсами. Распространение инновационного программного обеспечения столкнулось с неадекватными режимами кибербезопасности, что снизило барьеры для проникновения преступников — сейчас они почти отсутствуют, утверждается в материале FT.

Корпоративная культура хакерской атаки

По данным агентства Bloomberg, управляющая компания трубопровода Colonial заплатила хакерам в биткоинах в эквиваленте около $5 млн. Учитывая огромный ущерб, вызванный атакой, это кажется пустяковой суммой, однако для группы киберпиратов это очень серьезная плата за их относительно небольшую работу. Среди других недавних жертв DarkSide была одна из дочерних структур компании Toshiba, и нет сомнений, что группа намерена поставить свои атаки на поток. Например, DarkSide предлагает аренду вредоносного ПО другим хакерам, рекламируя эту возможность под аббревиатурой RaaS (Ransomware as a Service).

DarkSide то ли в шутку, то ли всерьез воспроизводит и некоторые элементы корпоративной коммуникации с внешней средой. Как только стали ясны масштабы хаоса, вызванного атакой на Colonial, хакеры выступили с заявлением, что их задача — «зарабатывать деньги, а не создавать проблемы для общества». С сегодняшнего дня, пообещали они, «мы вводим модерацию и будем проверять каждую компанию, которую хотят атаковать наши партнеры, чтобы избежать социальных последствий в будущем». Также стало известно, что за последние несколько месяцев DarkSide пыталась пожертвовать десятки тысяч долларов признанным благотворительным организациям. Чтобы никто не говорил, что киберпреступники не относятся всерьез к своей корпоративной социальной ответственности, иронизирует FT.

Рассчитывать на успех хакерам позволяет то, что люди и компании, подвергшиеся их атакам, предпочтут заплатить, чтобы их конфиденциальные данные не были опубликованы в интернете. Инфраструктура глобальной сети, утверждает FT, никогда не разрабатывалась с учетом сегодняшних требований кибербезопасности и теперь требует бесконечных исправлений и улучшений.

Помимо непосредственного ущерба и потерянных денег, усилившиеся хакерские атаки свидетельствуют о еще более серьезной проблеме, на которую прежде не было систематического реагирования. Речь идет о нараставшей в последнее десятилетие передаче на управление все более сложными сетевыми компьютерными системами самых различных сфер — транспорта, жилья, финансов, коммунальных услуг, производственных объектов.

Во избежание погружения в цифровой хаос кибербезопасность должна быть в центре принятия решений компаниями, считает FT.

Но главная проблема, добавляет издание, заключается в почти полном отсутствии каких-либо нормативных соглашений между тремя киберсверхдержавами — США, Россией и Китаем.

Хотя на протяжении многих лет под эгидой ООН ведутся переговоры об установлении международных кибернормативов, они достигли лишь ограниченного прогресса — Интернет по-прежнему остается общедоступным пространством.

«До тех пор, пока „большая тройка“ не установит определенные правила, коммерческая, геополитическая и военная конкуренция будет и дальше просачиваться в мир кибербезопасности», — резюмирует FT, признавая, что вероятность такого регулирования близка к нулю.

По ком звонит колокол

Несмотря на то, что атака, которой подвергся Colonial, не добралась до среды операционных технологий трубопровода, а его остановка, по утверждению компании, была профилактической мерой безопасности, американские эксперты оценивают риски для ИТ-систем энергокомпаний как очень высокие.

«Каждая энергетическая компания, оператор трубопровода, электростанция или любое другое предприятие, имеющее отношение к энергетическому сектору, должны рассматривать этот инцидент как нападение на себя»,

— заявил американскому изданию Utility Dive Джерри Рэй, главный операционный директор компании из сферы кибербезопасности SecureAge. По его утверждению, в части защиты от хакерских атак Colonial не делала ничего, что принципиально отличалось бы любой другой крупной компании в инфраструктурной отрасли. А другие примеры подобных атак на ее игроков уже были — например, не так давно мишенью хакеров стала водная компания Oldsmar из Флориды.

По оценке Дэвида Бикнелла, главного аналитика компании GlobalData’s Thematic Research, это не первая и не последняя кибератака с использованием программ-вымогателей на предприятие нефтегазовой отрасли, но самая серьезная. Кроме того, добавляет эксперт, это еще и одна из самых успешных кибератак на критически важную национальную инфраструктуру США.

В связи с этим глава Федеральной комиссии по энергетическому регулированию США Ричард Глик уже призвал внедрить обязательные стандарты кибербезопасности трубопроводов, аналогичные стандартам защиты критической инфраструктуры North American Electric Reliability Corp. Эта некоммерческая ассоциация с штаб-квартирой в Атланте следит за надежностью энергоснабжения на территории США и южной части Канады, в ее задачи также входит расследование инцидентов в энергосети. Представитель американской энергокомиссии Эллисон Клементс, поясняя необходимость более строгих требований для трубопровода, заявил, что добровольное внедрение передовых методов кибербезопасности — неадекватный ответ на постоянно увеличивающееся количество и изощренность киберпреступников.

Такое предложение находит поддержку у американских экспертов. Юрий Дворкин, доцент инженерной школы «Тандон» Нью-Йоркского университета, в комментарии для Utility Dive отметил, что американским энергосистемам нужны инструменты для анализа, локализации и изоляции киберугроз до того, как они распространятся и затронут значительные сегменты инфраструктуры, что чревато ее полным отключением.

Компании, занимающиеся кибербезопасностью, во избежание новых атак также рекомендуют использовать многофакторную аутентификацию, иметь проверенные планы реагирования на инциденты и осуществлять резервное копирование внешних систем. «Надеюсь, что взлом Colonial станет тревожным сигналом для электроэнергетической отрасли, — резюмирует Рик Трейси, директор по кибербезопасности компании Telos Corp. — Представьте себе подобную атаку на энергосистему в разгар лета. Сколько человек может умереть в самых жарких районах страны? Не будем ждать, чтобы узнать это на практике».

Сергей Танакян