; ?>/images/rssicon.png)
Anti—Colorados
Часть 1
Правительство США ввело чрезвычайное положение на юге страны из-за хакерской атаки на систему нефтепроводов Colonial Pipeline. В четверг хакеры блокировали работу компьютерной сети компании, зашифровав более 100 Гб данных, необходимых для обеспечения работы системы трубопроводов, общей протяженностью 8 850 км. Система обеспечивает транспортировку 2,5 миллионов баррелей бензина, дизельного топлива, авиационного топлива и других нефтепродуктов ежедневно. Это примерно 45% всех нефтепродуктов американского рынка. Собственно говоря, Colonial Pipeline обеспечивает транспортировку нефтепродуктов с основных нефтеперерабатывающих заводов США к погрузочным терминалам на побережье Мексиканского залива.
Здесь надо иметь ввиду, что законодательство США жестко ограничило перевозку нефтепродуктов сухопутным транспортом, передав это нефтепроводам, как более безопасному и экологичному виду транспорта. Поэтому остановка Colonial Pipeline остановила и отгрузку топлива потребителям. Введенное же ЧС временно снимает ограничения на перевозку нефтепродуктов другими видами транспорта. Это значит, что 18 штатов: Алабама, Арканзас, округ Колумбия, Делавэр, Флорида, Джорджия, Кентукки, Луизиана, Мэриленд, Миссисипи, Нью-Джерси, Нью-Йорк, Северная Каролина, Пенсильвания, южная Каролина, Теннесси, Техас и Вирджиния получили возможность использовать альтернативные методы доставки топлива, вплоть до разрешения ситуации, начиная с понедельника.
Однако тут надо учитывать важный момент, связанный с последствиями действующего законодательства. Так как был введен запрет на массовые перевозки топлива с НПЗ другими видами транспорта, то его перестали выпускать и прямо сейчас просто невозможно обеспечить функционирование такого количества железнодорожных и автомобильных цистерн, чтобы перекрыть мощность трубопроводной системы. Ожидается, что в связи с этим возникнет дефицит топлива, что приведет к его росту цены уже сегодня на 2-3%.
Но самое неприятное заключается в том, что резко упавшие возможности по вывозу топлива с НПЗ приведут к стремительному их затовариванию, что грозит более серьезными последствиями. Профильные аналитики утверждают, что крайне негативные последствия для переработчиков могут наступить, если до конца вторника не удастся запустить трубопроводы на полную мощность.
В этой ситуации интересно то, что благодаря массовой вакцинации населения, началось возвращение общества к обычному ритму жизни, и на дороги выходит все больше автотранспорта, что безусловно увеличивает спрос на автомобильное и авиационное топливо. И теперь этот спрос наложился на резко сократившееся предложение. В общем, лучшего времени для того, чтобы нанести удар по экономике США, трудно было представить, и все это в общем выглядит не как простая хакерская атака, а как диверсия.
В связи с этим следует отметить, что на протяжении прошлой недели спецслужбы США неоднократно сигнализировали о том, что существует повышенная опасность мощной хакерской атаки на какие-то объекты инфраструктуры. С учетом того, что за последние полгода выявлено как минимум две мощные хакерские атаки на правительственные и коммерческие сети, это предупреждение уже не выглядело чем-то фантастическим, но скорее всего, никто не ожидал, что следующую атаку исполнят вымогатели. Если раньше вторжение оборачивалось только кражей данных и так, чтобы их владелец ничего не обнаружил, то в этот раз атака оказалась брутальной и непосредственно выводящей из строя критическую инфраструктуру.
Источник – «Линия обороны»
Часть 2
На сегодня известно о том, что именно блокировку системы управления Colonial Pipeline выполнила хакерская группа DarkSide. Собственно говоря, атака именно с целью вымогательства обязывает хакеров как-то представляться. Те, кто промышляют кражей данных, наоборот стараются оставить как можно меньше следов и получив доступ к данным, тянут их незаметно и долго. В данном же случае все происходит иначе.
Целью такого рода атаки является максимальное привлечение внимания к себе для того, чтобы жертва понимала масштаб последствий и серьезность намерений злоумышленника. По сути, они копируют тактику террориста с бомбой, который выдвигает свои требования в обмен на обещание не взрывать бомбу. В таком раскладе жертва должна понимать, что бомба таки существует.
Для этого террорист может взорвать что-то незначительное, чтобы показать реальность своих угроз. Но самое главное, террорист должен убедить жертву в том, что он готов не просто взорвать бомбу, но сделать это так, чтобы последствия оказались неприемлемо тяжелыми. Только в таком случае он может настаивать на выполнении своих требований.
Здесь – та же самая ситуация. Злоумышленники показывают свою способность нанести максимальный ущерб и готовность на него пойти, если требования будут проигнорированы. Причем, подготовка атаки ведется таким образом, чтобы вычислить их достаточно быстро было невозможно, и уж тем более, в промежутке времени, когда они обещают нанести максимальный ущерб.
В таком случае они действуют примерно одинаково. Получив доступ к неким критическим данным, они шифруют их собственным, тяжелым для вскрытия кодом и владелец теряет к ним доступ. Злоумышленник присылает жертве доказательство того, что он контролирует эти данные, например – демонстрирует какой-то закрытый документ или же показывает логин-пароль лица, имеющего наивысший уровень доступа к данным. Это дает представление жертве о том, что хакеры действительно имеют на руках все критические данные.
Дальше – просто. Хакеры выдвигают какие-то требования, чаще всего – материального характера и обещают вернуть доступ к данным, если их требования будут удовлетворены. В противном случае они обещают либо полностью уничтожить критические данные, либо часть из них выложить в публичный доступ, если таковые демонстрируют жертву в неприглядном свете.
При этом, злоумышленники изначально готовы к тому, что жертва обратится к правоохранительным органам и что дальнейшая игра будет происходить с их участием. Обычно такие вещи оглашаются публично и это становится лучшей рекламой для хакерской группы, поскольку инцидент получает первые полосы прессы, и они демонстрируют себя настолько крутыми, что бодаются уже не с лоховатыми «бизнюками», а с правительственными структурами кибербезопасности, и при этом чувствуют себя спокойно и уверенно. В случае удачного (для них) завершения этой атаки, следующая жертва уже будет более сговорчивой.
Но во всей этой схеме есть два момента, делающие всю эту операцию, в плане мотивов, не такой уж и монолитной. Первый из них состоит в том, что хакеры, наподобие DarkSide, лично разрабатывают инструментарий именно по изоляции данных жертвы и заметанию следов, которые могут привести к ним правоохранительные органы. А вот сам взлом системы и создание там окна для входа делают другие специалисты.
Источник – «Линия обороны»
Часть 3
Есть множество данных о том, что в Даркнете существуют брокеры, торгующие разного рода информацией или базами данных. Так, Фейсбук (и не только он) уже не раз становился дырой, в которую уходили миллионы и десятки миллионов пакетов личных данных пользователей этой соцсети. Те, кто регистрировался в таких сетях, наверное, пришли в ужас от анкеты, которую она предлагает. Не заполнив множество [Без заполнения множества] полей опросника, система просто не пропустит тебя к моменту создания аккаунта.
А там хотят знать о вас все: кто вы, где вы, ваши контактные данные, дату рождения, семейное положение и наконец – банковские данные. Мало того, соцсеть еще и отслеживает все ваши действия и даже перемещения, если вы не позаботитесь лишить ее этой возможности. Некоторые пошли еще дальше и могут незаметно включать камеры или микрофоны ваших гаджетов, чтобы пересылать в компанию то, о чем вы говорите или что рядом с вами. Все это пришивается к вашему профилю и продается в виде набора данных для рекламодателей. Так работает таргетированная реклама, и ее теперь Эппл дает возможность отрубить полностью.
Но уже то, что собрано в вашем профиле, будет обязательно продаваться, а иногда эти данные просто становятся добычей хакеров, которые получают миллионы таких профилей, и потом – продают их всем желающим. И вот примерно то же самое происходит не только с социальными, но и корпоративными сетями. Злоумышленники получают доступ к серверам компаний и создают там «окна» для входа на самом высоком, системном уровне. Дальше они могут воспользоваться этим сами, а могут – продать на брокерских площадках Даркнета.
Известный почерк DarkSide говорит о том, что скорее всего, доступ к серверам Colonial Pipeline был получен именно таким образом. А имея админский вход в систему, хакеры уже без особых проблем завели туда свой вредоносный код и сделали все, что нужно. Только вот это еще не все, поскольку имеется еще одна особенность работы именно таких хакерских групп.
Дело в том, что DarkSide (и не только он) является таким себе флагом для целого ряда независимых хакерских групп, которые не завязаны в какой-то четкой иерархии. Это – мозг данной группировки, который разрабатывает стратегии данного вида хакинга, отрабатывает набор тактических приемов и воплощает это в собственном программном обеспечении. Это – некая группа интеллектуалов и выдающихся специалистов как в области программирования, так и в области криптографии.
Сейчас эта группа на определенных условиях предоставляет свои разработки тем, кто готов их применить на практике. Возможно, на начальном этапе своей деятельности, DarkSide сама бомбила серверы жертв, но теперь это делают не они, а те, кто получил от группы соответствующий инструментарий и франшизу на использование их флага.
Отсюда следует, что под видом DarkSide может работать кто-то совсем не связанный с группой, но при этом он может оперировать инструментами группы и пользоваться их флагом. А теперь просто представим, что похититель паролей доступа и создатель «окон» решил не просто украсть данные, а совершить вот такую акцию в стиле DarkSide. По сути, для этого ему не нужно сильно напрягаться, просто нужно учитывать специфику именно такого рода действий, чтобы не быть пойманными, и – вперед!
Источник – «Линия обороны»
Часть 4
Ну а если тебе нужен не выкуп от жертвы, а конечный результат – уничтожение данных, потому что тебе не заплатили выкуп, то это мероприятие упрощается многократно, ведь самым опасным моментом именно такой акции является получение выкупа. А если он не нужен по определению, то опасность сводится к нулю, поскольку спецы будут выстраивать свою операцию противодействия, в основном – на контроле этой фазы мероприятия.
А теперь вспомним две последние хакерские атаки, сотрясавшие США. Основной фазой этих массовых атак было внедрение своего вредоносного кода в легальные программы для отладки и мониторинга сетей, в том числе и правительственных. Использование этих программ было предусмотрено процедурами обслуживания сетей и оперировали ими только специалисты, имеющие доступ администратора, то есть – наивысший уровень допуска. И вот именно на таком уровне и внедрялся вредоносный код.
Дальше шпионская программа действовала автономно и собирала данные пользователи, одновременно создавая окно для несанкционированного доступа к системе. Все это повторялось многократно и во множестве сетей. Вполне возможно, что одной из жертв тех атак была и Colonial Pipeline, а злоумышленник уже давно имел доступ к совершенно критической инфраструктуре ее сети. А ведь этот злоумышленник уже идентифицирован и назван – хакерская группа ГРУ.
Конечно, группа могла обвалить сервер в любой момент, но мы же помним о том, что Путин – любитель гибридных войн и принципа «ихтамнет» и «а вы докажите». А ведь в таком случае, бойцам «невидимого фронта» был нужен только камуфляж, чтобы выглядеть, как кто-то из вымогателей. С учетом того, что DarkSide берет плату «за вход» или за предоставление соответствующего инструментария, а потом – процент от добычи, то это могло стоить совсем небольших денег. Ну а если выкуп не выплатили, то тем более уже ничего платить не нужно.
И вот в итоге мы наблюдаем точечный и хорошо рассчитанный удар по критической инфраструктуре США. Как известно, атаки на сети именно энергетической сферы – одна из визитных карточек российских правительственных хакеров. Достаточно вспомнить атаку россиян на объекты энергетической структуры Украины, которая уже преподается как некий классический пример таких атак на профильных кафедрах ВУЗов США. И вообще, у Путина – пунктик на энергетике и потому атаку на Colonial Pipeline надо рассматривать и под этим углом зрения.
Все будет зависеть от развязки этой ситуации. Следователям надо будет очень внимательно отнестись к моменту получения выкупа, а вернее – насколько тщательно злоумышленники продумали этот вариант. Отсюда будет следовать вывод о том, насколько реально они хотели получить выкуп или это была лишь видимость вымогательства. В свою очередь, это укажет на мотив данного преступления. Может оказаться, что выкуп был не нужен, а все это мероприятие – акт кибертерроризма или даже диверсия.
Но еще раз вернемся к тому, что за последние полгода это уже третий факт масштабной хакерской атаки на критические правительственные и коммерческие сети в США. Причем, последствиями первых двух стало создание неведомого количества дыр в системах безопасности критических сетей. По мнению Джеймса Чаппелла (James Chappell), соучредителя и главного директора по инновациям в компании Digital Shadows, занимающейся сетевой безопасностью, напрячься следует всем, кто использует программы для удаленной работы с корпоративными данными TeamViewer и Microsoft Remote Desktop.
А все это значит, что у злоумышленников может быть еще неопределенное количество возможностей устроить то, что сейчас происходит с Colonial Pipeline. Отсюда напрашивается точно такой же вывод, как и по терроризму вообще. Бесполезно бороться с его частными проявлениями, поскольку это ведет к бездарной трате ресурсов. Надо выходить на центр, генерирующий это дрянь, и уничтожать его в самом гнезде. Пора переходить от ликвидации последствий к действиям на упреждение, тем более, что гнездо это хорошо известно.
Источник – «Линия обороны»
Последние комментарии