Эксперты раскрыли схему хакерской атаки на систему трубопроводов США

Алексей Горбачев
Александр Яневский

Специалисты в области кибербезопасности рассказали, что известно о связях хакеров из группы DarkSide с Кремлем

На автозаправках в ряде штатов восточного побережья США, включая Вирджинию, Джорджию, Северную и Южную Каролины, стали скапливаться очереди из автомобилей. Ажиотажный спрос вызван сообщениями о возможных перебоях с поставками топлива, связанных с кибератакой на систему топливопродов Colonial Pipeline. Эксперты в области кибербезопасности рассказали "Голосу Америки", почему хакерская атака стала возможна, и какие последствия она будет иметь для топливно-энергетических компаний в Соединенных Штатах.

Топливопровод Colonial Pipeline тянется из Техаса до Нью-Джерси, и через него проходит 45% топлива, снабжающего Восточное побережье Соединенных Штатов. Хотя остановка трубопровода, как утверждают власти, не успела привести к масштабному дефициту топлива, спрос на бензин в ряде штатов уже вырос на 40% по сравнению с предыдущей неделей.

Как во вторник сообщил Wall Street Journal, на ряде автозаправок скопились очереди из автомобилей. В результате, на некоторых из заправок стало заканчиваться топливо. Также наблюдается рост цен на бензин – они уже достигли семилетнего максимума.

...хакеры утверждают, что действуют исключительно в интересах наживы, и призвали не связывать кибератаку с интересами конкретного правительства

В Colonial Pipeline обещают "в значительной степени" восстановить работу трубопровода к концу недели. До этого времени, чтобы избежать дефицита топлива, бензин будет доставляться также автомобильным и железнодорожным транспортом.

Как произошла кибератака?

ФБР возложило ответственность за приостановку работу трубопровода на хакерскую группировку DarkSide, которую подозревают в связях с Кремлем. Подтверждающее кибератаку сообщение появилось и на сайте группировки в даркнете (скрытой анонимной сети). При этом хакеры утверждают, что действуют исключительно в интересах наживы, и призвали не связывать кибератаку с интересами конкретного правительства.

"Они зашифровали данные, необходимые компании Colonial Pipeline для работы, - рассказал "Голосу Америки" эксперт Центра стратегических и международных исследований (CSIS) Джеймс Льюис (James Lewis). – А затем предложили компании заплатить два миллиона долларов, либо нести убытки в связи с остановкой операций, что, собственно, и произошло. При этом ФБР на каком-то этапе вмешалось в атаку и отключило сети, которыми пользовались хакеры".

Эксперт полагает, что, если компании не удастся восстановить работу к концу недели, им будет проще заплатить хакерам деньги, чем нести убытки.

"DarkSide – известная группировка в преступном мире. Это крупная преступная организация, мафиозная структура, у которой также есть дочерние компании", - рассуждает Льюис.

По словам эксперта, для совершения преступления была использована так называемая программа-вымогатель – вредоносное программное обеспечение, которое блокирует системные и личные файлы пользователей, а затем требует выкуп за разблокировку доступа.

"Это отнюдь не самое изощренное преступление. Ряд компаний, как крупные банки, авиаперевозчики, вкладывают много денег для защиты от подобных схем. В случае с Colonial Pipeline мы доподлинно не знаем, как именно была устроена их защита, но очевидно, этого оказалось недостаточно", - говорит эксперт.

Джеймс Льюис допускает, что сложность шифрования данных в компании, занимающейся транспортировкой топлива, была обусловлена особенностью компьютерных систем.

"В таких компаниях обычно есть две сети: есть деловая сеть, где обмениваются электронными письмами, и тому подобное, а есть операционная сеть управления, где обычно установлены небольшие, маломощные компьютеры с небольшим объемом памяти. И такую сеть сложно изменить, чтобы включить шифрование или аутентификацию, это потребует огромных затрат", - полагает собеседник "Голоса Америки".

По мнению Льюиса, скорость восстановления операций Colonial Pipeline будет зависеть от того, как быстро им удастся "откатить систему назад", восстановив систему из резервной копии. "Те компании, которые отказываются платить вымогателям, в основном, просто восстанавливают свое старое программное обеспечение из резервных копий", - говорит Льюис.

Байден: Кремль несет косвенную ответственность за кибератаку

Минимизацией последствий кибератаки сейчас занимаются целый ряд американских госведомств, включая Белый дом.

Президент США Джо Байден в беседе с журналистами воздержался от прямых обвинений в адрес Кремля, отметив, что на Москве лежит определенная ответственность за то, чтобы разобраться с хакерами.

"Пока нет никаких доказательств, основанных на данных нашей разведки, что Россия к этому причастна, - заявил Байден. - Однако, учитывая свидетельства, что субъекты, использующие программу-вымогателя, находятся в России, правительство в Москве несет некоторую ответственность за то, чтобы разобраться с этим".

По мнению Джеймса Льюиса, можно сделать вывод, что правительство России не руководило кибератакой и не одобряло ее. "Однако власти России терпимо относятся к хакерам. И установленные правила довольно просты: если вы не взламываете российскую сеть, мы вам не будем мешать. Так что для таких групп, как DarkSide, по сути, дан зеленый свет чтобы атаковать весь остальной мир. Говорят, что, прежде чем начать кибератаку, вредоносное программное обеспечение проверяет, используется ли в сети русский язык. И если да, то атака прекращается", - подытоживает Льюис.

Александр Краутер (Alexander Crowther) из Международного университета Флориды обратил внимание, что Кремль печально известен вербовкой киберпреступников.

"Если вы - киберпреступник, пойманный российскими властями, то вам предоставляется выбор: сидеть в тюрьме или проводить кибероперации для правительства России, - говорит Краутер. – А все то время, что вы не работаете на правительство России, вы зарабатываете деньги для себя".

В итоге, даже если хакеры DarkSide действуют без согласования с Кремлем, на Россию все равно падает тень из-за того, власти не препятствуют их работе, говорит Краутер.

...хотя кибербезопасность в Соединенных Штатах сегодня намного лучше, чем пять лет назад, к сожалению, более опытными стали и киберпреступники

По мнению экспертов, инцидент приведет к тому, что компании в области топливной энергетики в США будут больше вкладывать в обеспечение кибербезопасноти.

"Это первая атака на топливную энергетическую компанию на моей памяти, - замечает Краутер. – И хотя кибербезопасность в Соединенных Штатах сегодня намного лучше, чем пять лет назад, к сожалению, более опытными стали и киберпреступники".

Как полагает Джеймс Льюис, администрация Байдена в ближайшее время выступит с рядом мер в области кибербезопасности, в частности, касательно базовых стандартов в области программного обеспечения.

"Это уже не решит проблему Colonial Pipeline, но затруднит подобные взломы в будущем. Также была создана рабочая группа в Минюсте США, где будут заниматься непосредственно программами-вымогатели, - говорит Льюис. - Так что, в ближайшие пару месяцев мы увидим реальный прогресс в решении этой проблемы".

Алексей Горбачев
Журналист, на "Голосе Америки" с 2019 года. В 2011-2018 году работал политическим обозревателем в отделе политики "Независимой газеты" в Москве. Лауреат американской стипендии имени Хьюберта Хамфри в сфере журналистики. Прошел обучение в школе журналистики и массовых коммуникаций имени Уолтера Кронкайта при государственном университете Аризоны.

Александр Яневский
Журналист. Закончил Киевский национальный университет имени Тараса Шевченко. Работал на канале "1+1" и "5 Канале". На "Голосе Америки" с 2014 года. Был одним из двух корреспондентов "Голоса Америки", освещавших выборы президента России в 2018 из Москвы. Уделяет внимание теме американо-украинских и американо-российских отношений. Активно освещал дело Пола Манафорта и Марии Бутиной.