Nowojorskie metro zostało w kwietniu zaatakowane przez hakerów. Sprawę ujawniły dopiero teraz amerykańskie media. Atak jednak nie do końca się sprawcom powiódł, bo nie zdołali się włamać do wszystkich części systemu. Zdaniem ekspertów tropy wiodą do Chin.
Nowojorskie metro jest jednym z największych systemów podziemnej kolei pasażerskiej na świecie, a pod względem liczby stacji (427) i linii (27) największa. Ale łączną długością wszystkich linii ustępuje jednak metrom w Londynie, Pekinie i Szanghaju, zaś w kwestii dziennej liczby przewożonych pasażerów metrom w Pekinie, Szanghaju i Moskwie. Jest też jednym z zaledwie trzech na świecie, które kursują całodobowo.
Metro kursowało bez zakłóceń
Jak się okazuje w 20 kwietnia bieżącego roku metro w Nowym Jorku zostało zaatakowane przez hakerów. Sprawę ujawnił serwis internetowy „The Hill”, ale zarządzająca nowojorskim metrem spółka Metropolitan Transportation Authority (MTA) informacje te potwierdziła.
Sprawę wykryły wspólnie Federalne Biuro Śledcze (FBI), Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) oraz Narodowa Agencja Bezpieczeństwa (NSA). Nie poinformowano jaki był dokładny cel ataku hakerów, ale nie był to atak typu ransomware, który polega na zablokowaniu komputerów i żądaniu okupu za ich odblokowanie.
Metro w Nowym Jorku kursowało bowiem bez zakłóceń, a pasażerowie i pozostali mieszkańcy miasta nawet nie byli świadomi, że coś się dzieje. Wiele wskazuje na to, że przestępcy chcieli wykraść z systemu dane, być może dane osobowe osób, które korzystają z tzw. MetroCard, która pozwala opłacać bilety za przejazd podziemną kolejną oraz promami i innymi pociągami łączącymi Nowy Jork z New Jersey, Hoboken czy Newark.
Najcenniejszych danych nie udało się wykraść
Hakerom udało się jednak włamać tylko do 3 z 18 części systemu komputerowego MTA. Nie są one ze sobą połączone, co utrudniło hakerom zadanie. System przechowujący dane pasażerów (np. numery ich kart płatniczych) nie został według zapewnień kierownictwa transportowej spółki naruszony.
Przeprowadzony po ataku zewnętrzny audyt bezpieczeństwa (przeprowadzony przez firmę IBM oraz zajmującą się cyberbezpieczeństwem spółkę Mandiant) nie wykazał też, aby w systemie udało się hakerom zainstalować jakieś stałe złośliwe oprogramowanie, więc uznano, że atak w dużej mierze się po prostu nie powiódł.
„Wielowarstwowe systemy bezpieczeństwa MTA działały zgodnie z założeniami, zapobiegając rozprzestrzenianiu się ataku. Wciąż wzmacniamy te kompleksowe systemy i pozostajemy czujni, ponieważ ataki cybernetyczne stanowią rosnące globalne zagrożenie” – powiedział serwisowi „The Hill” dyrektor ds. technologii MTA Rafail Portnoy.
Jednocześnie wiele wskazuje na to, że ci sami sprawcy próbowali jednocześnie przeprowadzić atak na wiele instytucji i firm. Wykorzystać zaś mieli lukę w oprogramowaniu Pulse Connect Secure dostarczonym przez amerykańską firmę informatyczną Invanti.
Tropy prowadzą do Chin
Według „New York Timesa” za wszystkimi atakami wykorzystującymi tę lukę stoją dwie grupy chińskich hakerów, z których jedna ma powiązania z władzami w Pekinie. Również kierownictwo MTA wskazuje na Chiny.
FBI prowadzi w tej sprawie śledztwo. Trwają również śledztwa ws. ataków hakerskich na amerykański oddział największego na świecie przetwórcy mięsa – brazylijską spółkę JBS – oraz na zarządzającą największym ropociągiem w południowo-wschodniej części USA spółkę Colonial Pipeline.
W tych dwóch przypadkach chodziło jednak o ataki typu ransomware, a tropy zdaniem Białego Domu prowadzą do Rosji. Odpowiedzialnością za atak na zakłady JBS obarczane są powiązane z Rosją grupy REvil i Sodinokibi, zaś za atak na Colonial Pipeline rosyjskojęzyczny gang DarkSide.
Zdaniem ekspertów grupy te nie są powiązane ze służbami specjalnymi Rosji, ale bardzo prawdopodobne jest, że zawarły oni z nimi układ, polegający na tym, że w zamian za rezygnację z atakowania celów w Rosji lub jej państwach sojuszniczych, rosyjskie agencje wywiadowcze przymykają oko na działalność hakerów.