В мире идет громкий кибер-скандал. Несколько дней назад хакерская группировка Dark Side остановила работу крупнейшего трубопровода в США.
Через несколько дней власти Америки заявили, что кибер-преступники могут находиться в России.
Правда, российскую власть пока в этом не обвиняют. А президент Джо Байден избрал нейтральную позицию, намекая, что до встречи с Путиным резких шагов предпринимать не станет.
"Страна" рассказывает, как неизвестные хакеры нанесли мощный удар по топливной безопасности США и каким боком к этому Кремль.
Как хакеры "положили" торговлю топливом в США
Хакерская атака на оператора Colonial Pipeline ("Колониал Пайплайн") началась 6 мая.
Трубопровод компании - один из самых крупных в США, его протяженность около 9 тысяч километров. Отвечает за транспортировку 45% топлива для восточной части страны, включая авиационное топливо и газ.
Информация о факте атаки появилось 7 мая. Хакеры заблокировали компьютеры компании, поразив их вирусом-вымогателем. Он требовал перевести определенную сумму для восстановления работы устройств.
Попутно был похищен массив данных. Сумма выкупа не называлась. По информации источников СМИ, вымогатели угрожали слить в интернет конфиденциальные данные и оставить компьютеры заблокированными.
Colonial Pipeline вынуждена была приостановить работу топливопровода. Власти США создали межведомственную рабочую группу специалистов. Им было поручено разработать различные сценарии, в том числе на случай перебоев в поставках горючего.
Министерство транспорта США заявило о введении региональной чрезвычайной ситуации в 19 штатах, в том числе во Флориде, Техасе, Нью-Йорке и Пенсильвании. Это позволило властям организовать доставку горючего и нефтепродуктов в автоцистернах. Водителям грузовиков разрешили работать сверхурочно.
Рассматривается вариант транспортировки танкерами в Мексиканском заливе и прокачки через трубопровод Plantation Pipeline, мощность которого почти в пять раз ниже, чем у Colonial Pipeline.
К 9 мая прокачку по малым трубам между терминалами и пунктами назначения возобновили. Основная линия все так же не работала. Colonial Pipeline заявила, что планирует полностью восстановить работу до конца этой недели, 16 мая.
Хакерская атака на крупнейший трубопровод США вызвала рост цен на нефть на международных рынках. На торгах 10 мая стоимость Brent и WTI увеличилась на 1,3%, но в конце дня вернулась на прежний уровень.
Цена бензина в США составляла $0,78 за литр. С началом высокого летнего сезона (американцы начинают активно путешествовать по стране, - Ред.) стоимость может вырасти до более $0,8 за литр.
Кто такие DarkSide?
Это одна из наиболее влиятельных сегодня хакерских группировок. Название DarkSide переводится как "Темная сторона" и, судя по всему, связана с одноименным явлением из вселенной "Звездных войн"
В американской прессе их часто называют "Робин Гудами": хакеры декларируют некий "кодекс поведения", по которому они атакуют лишь крупные корпорации. И не трогают больницы, школы, государственные ресурсы и прочие социальные объекты.
DarkSide скрывают свои имена, но тем не менее ведут связи с общественностью: в дарквебе (альтернативный интернет) есть сайт, где хакеры публикуют свои заявления, а также ведут "список позора": компании, которые им не заплатили.
Внутренние данные "неплательщиков" сливаются в Сеть - в наличии уже есть документы десятков крупных корпораций Европы и США. Которые, впрочем, продаются всем заинтересованным, а не выводятся в открытый доступ.
В рамках той же стратегии "открытости" хакеры DarkSide регулярно тратят биткоины на благотворительность, о чем с гордостью сообщают на своем веб-ресурсе. Впрочем, как считают специалисты, это лишь попытка самопиара, но по факту обычно фонды не принимают пожертвований из столь двусмысленных источников - чтобы не стать объектом внимания спецслужб за отмывание преступных доходов.
Американская компания Cybereason, занимающаяся кибербезопасностью, говорит, что DarkSide находится сегодня на гребне волны цифровой преступности.
Заговорили о группировке менее года назад, хотя существует она, судя по всему, дольше. В августе журнал Forbes рассказывал о том, что DarkSide использует программы-вымогатели нового типа. Сумма выкупа за прекращение атаки - от 200 тысяч до двух миллионов долларов, но если "клиент" не платит в указанные сроки, сумма удваивается. Оплата - в криптовалюте.
В группировке говорят, что у них нет цели разрушить чей-то бизнес, и они требуют столько, сколько та или иная компания, по их мнению, в состоянии заплатить. В частности, хакеры якобы накануне атаки проводят разведку: анализируют бухгалтерию фирм и вычитают требуемые суммы, по их словам, только из чистой прибыли.
Еще год назад Forbes отмечал, что тактика новой хакерской группы напоминает стиль других киберпреступников из сообщества REvil, также известной как Sodinokibi.
Особенность работы и той, и другой группировки - общая схема по дешифровке заблокированных данных. К слову, она происходит не всегда напрямую. Ключи нередко передаются третьим компаниям, которые работают в легальном поле и предоставляют платные услуги по снятию блокировки. Аналитики полагают, что они могут быть заодно с хакерами.
Связана ли "Темная сторона" с Россией?
О связях группировки с Россией никаких данных летом 2020 года, когда впервые заговорили о DarkSide, не звучало. Зато сейчас, после атаки на трубопровод, американские СМИ начали искать российский след.
Связано это с тем, что недавно Вашингтон официально обвинял Москву в хакерской атаке на компанию SolarWinds и даже ввел за это санкции. В ответ Москва, которая эти обвинения отвергает, приняла серьезные ответные меры, после чего отношения между странами еще более накалились.
В публикациях говорилось, что Dark Side не атаковал российские и сирийские компании. Мол, поэтому есть подозрения, что группа управляется из России.
Журналистка The New York Times Николь Пирло написала твит, в котором заявила, что в Darkside хоть и не связывают себя с отдельными государствами, но используют языковые настройки компьютеров-жертв.
"Если жертва использует любой из перечисленных ниже языков, DarkSide ее игнорирует", - написала Пирло и опубликовала список языков, используемых в основном на постсоветском пространстве.
Откуда эта информация у журналистки - непонятно. Но наличие в стоп-листе, к примеру, украинского и грузинского языков не слишком логично, если предположить, что хакеры работают на правительство РФ. С Украиной и Грузией Москва находится далеко не в самых дружественных отношениях.
Отсутствие кибератак в бывших советских республиках можно объяснить и проще: на Западе элементарно больше компаний с миллиардными оборотами капиталов. Поэтому неудивительно, что и атаковать их будут интенсивнее.
В Белом доме официально заявили следующее. Президент Байден предположил, что хакеры могут находиться в России (якобы у американцев есть тому доказательства). Но связей с российской властью США пока не видят - хотя и призывают Москву активнее расследовать этот вопрос. То есть пока позиция нейтральная.
Но если учесть, как в Штатах доказывают причастность какого-либо государства к подобным преступлениям - как правило, ограничиваясь простым заявлением, - то не исключено, что ситуация может поменяться, и американцы введут новые санкции против Москвы.
Впрочем, пока Байден заявляет, что хочет встречи с Путиным - причем это прозвучало прямо в его ответе на вопрос журналиста, причастна ли Россия к атаке на трубопровод. То есть можно предположить, что пока отношения с РФ обострять новыми санкциями не хотят. По крайней мере, до этой встречи.
В Кремле уже отвергли причастность к нападению на "трубу". И напомнили американцам, что те саботируют подписание соглашения о сотрудничестве против киберугроз, которое Путин предлагал еще Трампу.
Сами же представители DarkSide заявили, что они полностью аполитичны, и интересуются только зарабатыванием денег.
Более того, они даже извинились за случившееся и пообещали "ввести модерацию своих целей, чтобы избежать отрицательных последствий для общественности в будущем".