Взломавшие Colonial Pipeline хакеры пообещали в будущем «тщательнее выбирать цели»

Группа, стоящая за хакерской атакой вирусом-вымогателем, которая на прошлой неделе остановила работу американского трубопровода Colonial Pipeline, извинилась за «социальные последствия» своего взлома, сообщает портал Vice. По словам злоумышленников, принадлежащих к группировке DarkSide, они стремились не вызвать хаос, а лишь заработать денег.

«Мы аполитичны, не имеем отношения к геополитике, поэтому не надо связывать нас с конкретным правительством и искать другие скрытые мотивы. Наша цель — заработать денег, а не устраивать людям проблемы. С сегодняшнего дня у нас появятся модераторы, которые будут проверять каждую компанию, чьи системы мы хотим зашифровать, чтобы избежать подобных последствий в будущем», — говорится в сообщении DarkSide, опубликованном на одном из форумов в даркнете. 

По данным New York Times, эту группировку не ассоциируют с конкретным государством, но известно, что она не атакует организации, чьи системы включают в себя русский или ряд восточноевропейских языков. Bloomberg утверждает, что члены DarkSide говорят по-русски.

В начале текущей недели телеканал CNN обвинил в атаке на Colonial Pipeline российские власти. Позднее Белый дом отказался подтвердить слухи о причастности России к кибервзлому.

Между тем ИБ-эксперты по всему миру солидарны во мнении, что атака, которая остановила работу одного из крупнейших трубопроводов на востоке США, была лишь вопросом времени. Всему виной отсутствие надежной защиты объектов критической инфраструктуры, а также «пандемия вирусов-вымогателей». 

«Если честно, для любого человека, который активно следит за вымогательским ПО, это [атака] не стало сюрпризом. Это просто еще один пример пандемии этого типа вирусов, которой нужно заниматься на самом высшем уровне», — заявил генеральный директор Institute for Security and Technology Филипп Рейнер.

«По мере того, как все становится более компьютеризированным, средства управления нашей критически важной инфраструктурой также становятся цифровыми, и необходимо предпринять шаги для обеспечения их защиты от кибератак», — сообщила Лесли Гордон, исполняющая обязанности директора по национальной безопасности и правосудию Счетной Палаты США. По ее словам, то, что случилось с Colonial Pipeline, является «примером неспособности защитить критически важную инфраструктуру».

Частные компании зачастую крайне халатно относятся к кибербезопасности и не могут обеспечить своим компьютерным системам даже базовую защиту, что упрощает взлом для хакеров, считает Рейнер. 

«Кибергигиена, а точнее ее отсутствие — действительно одна из главных причин киберпреступности. Дело не в том, что эти парни [хакеры] — профессионалы. Просто люди не могут позаботиться о самых базовых вещах», — заявил он.

Современные промышленные предприятия уделяют все больше внимания киберзащите своих активов – как в технологическом контуре, так и в офисной сети, рассказал «Газете.Ru» Евгений Гончаров, руководитель Kaspersky ICS CERT.

«Однако большое количество разнообразных информационных систем, сложность инфраструктуры и внутренних процессов крупных организаций в современном ландшафте угроз не позволяет гарантировать 100%-ю защиту: неустраненные уязвимости в ПО и настройках информационных систем и человеческий фактор, к сожалению, часто открывают дверь злоумышленникам», — отметил специалист.

Группировка, уличенная в причастности к атаке на Colonial Pipeline, реализует бизнес-модель «Ransomware as a Service» — то есть не только разрабатывает инструментарий для атак, но и поддерживает инфраструктуру их реализации, и помогает своим «партнерам» в их проведении (например, в ведении переговоров с жертвой и получении выкупа), продолжил Гончаров.

«Как настоящий «вендор», они строят и развивают свою «партнерскую сеть», предлагая специальные партнерские программы другим злоумышленникам, предварительно отобранным на конкурсной основе в соответствии с набором формальных требований и по результатам собеседования.

По их собственному заявлению, инфраструктуру для своих операций они разворачивают в «непризнанных республиках» и на территории стран, находящихся под сильным внешнеполитическим давлением, используя таким образом геополитический фактор для снижения риска обнаружения и преследования», — добавил эксперт.

Существует два наиболее важных фактора, из-за которых объекты КИИ в современной ситуации уязвимы, указал технический директор ESET в России и СНГ Виталий Земских.

Первый заключается в том, что после массового внедрения удаленной работы мир стал зависимым от технологий, как никогда прежде.

Не все отрасли успели наладить процессы удаленного или гибридного взаимодействия сотрудников. В результате у злоумышленников появились новые инструменты кибератак на стратегические объекты.

Второй фактор — повсеместное требование к установке сертифицированных средств защиты информации для объектов КИИ. Чтобы пройти все бюрократические и технические процедуры, а также сертифицировать продукт, нужно около года. Поэтому на момент получения всех разрешительных документов версия продукта устаревает, и для квалифицированных атакующих не составляет труда проникнуть в инфраструктуру стратегического предприятия.

«Поскольку за атаками на национальные объекты КИИ зачастую стоят квалифицированные группы хакеров из других стран, я бы рекомендовал использовать для информационной защиты международные продукты и технологии, имеющие глобальную базу актуальных угроз», — заключил Земских.