Do ataku wykorzystano oprogramowanie ransomware, które zaszyfrowało setki terabajtów danych na serwerach Colonial Pipeline. W efekcie sieć przesyłowa została niemal całkowicie sparaliżowana, co z kolei doprowadziło do poważnych przerw w dostawach paliw.
Kluczowa jest tu przede wszystkim skala ataku i potencjalnych "zniszczeń". Rurociąg Colonial Pipeline odpowiada za ponad 45 procent dostaw na terenie Wschodniego Wybrzeża USA. Za pośrednictwem ciągnącej się przez niemal 9 tys. km sieci każdego dnia przesyłanych jest nawet 3 mln baryłek ropy. Nawet krótka przerwa w dostawach ma ogromny wpływ na funkcjonowanie wielu sektorów gospodarki.
Tymczasem zaatakowany przez cyberprzestępców rurociąg nie działa już od kilku dni i nadal nie wiadomo, kiedy amerykańskiej firmie uda się odzyskać kontrolę nad własną siecią.
W niedzielę Colonial Pipeline poinformowało, że pracuje już nad planem "ponownego uruchomienia systemu". Koncern zaznaczył jednak, że rurociąg zostanie uruchomiony dopiero w momencie, gdy będzie to bezpieczne, nie podając żadnej konkretnej daty ponownego włączenia sieci.
Konsekwencje ataku już teraz są odczuwalne. Na wielu stacjach zaczyna brakować benzyny, a ceny paliw rosną. Co ciekawe, jak zwraca uwagę "New York Times", nie jest to wcale efekt braku surowca (rezerwy wciąż są całkiem spore, a paliwo można dostarczać też np. cysternami), ale paniki ze strony kierowców, którzy wykupują benzynę, bojąc się, że przerwy w dostawach mogą potrwać dłużej.
Rurociąg Colonial Pipeline fot. Colonial Pipeline
FBI już w poniedziałek poinformowało, że za atak na Colonial Pipeline odpowiada grupa DarkSide, która już od lat znana jest z podobnych działań z wykorzystaniem oprogramowania ransomware.
FBI potwierdza, że to oprogramowanie ransomware DarkSide jest odpowiedzialne za naruszenie sieci Colonial Pipeline. Będziemy kontynuować nasze śledztwo, współpracują z firmą oraz naszymi rządowymi partnerami
- czytamy w komunikacie opublikowanym przez FBI.
DarkSide na razie nie wzięła odpowiedzialności za atak. Na jej stronie pojawił się jednak komunikat, w którym grupa podkreśla, że jej celem jest "zarabianie pieniędzy, a nie stwarzanie problemów społeczeństwu". Zaznaczyła również, że nie jest powiązana z żadną opcją polityczną.
DarkSide jest w cyberprzestrzeni pewnym fenomenem. Grupa ta pojawiła się niemal znikąd w sierpniu ubiegłego roku i zaprezentowała autorskie oprogramowanie ransomware, które charakteryzuje się niespotykanym wręcz poziomem skuteczności oraz wysublimowania.
Eksperci ds. cyberprzestępczości są niemal pewni, że nie mamy tu do czynienia z grupą amatorów, ale z weteranami "branży", którzy już wcześniej mieli na swoim koncie wiele skutecznych ataków.
"Są nowi, ale bardzo zorganizowani" - podkreśla Lior Div, dyrektor generalny w firmie Cyberreason.
Cybereason przeprowadziło małe śledztwo, dzięki któremu o DarkSide wiemy nieco więcej. Okazuje się, że grupa ta skupia się na atakowaniu celów zlokalizowanych w krajach anglojęzycznych, co może wskazywać na jej powiązania z Rosją lub innym krajem dawnego bloku sowieckiego. Na tego rodzaju powiązania może również wskazywać fakt, że DarkSide "reklamuje" swoje usługi w języku rosyjski i wymaga od swoich współpracowników znajomości tego języka.
Wygląda na to, że grupa ma swoisty kodeks postępowania, który zabrania jej ataków na szpitale, hospicja, uniwersytety, organizacje non-profit oraz agencje rządowe
- piszą eksperci Cyberreason w swoim raporcie.
Ciekawa jest też medialna strona działalności DarkSide. Grupa wydaje komunikaty prasowe i prowadzi stronę internetową, na której chwali się skutecznymi atakami. Ma nawet helpdesk oraz infolinię, za pośrednictwem której negocjuje okup z ofiarami ataków.
W swoich działaniach DarkSide stosuje metodę "podwójnego wymuszenia". Przed zaszyfrowaniem danych, kopiuje je na własne serwery. W momencie, gdy ofiara ataku nie zgodzi się na wypłatę okupu za odszyfrowanie danych, DarkSide ma w rękawie dodatkowego asa - może zagrozić upublicznieniem przejętych dokumentów, które często zawierają prywatne lub wręcz tajne informacje.
O tym, jak lukratywnym biznesem stały się ataki ransomware świadczy raport firmy Emsisoft. Wynika z niego, że tylko w 2020 r. co najmniej 2 354 amerykańskich agencji rządowych, szpitali oraz szkół padło ofiarą tego rodzaj wymuszeń, a wysokość wypłaconych okupów sięgnęła 900 mln dolarów.
Skutki ataków były alarmujące: karetki zostały przekierowane, radioterapia dla pacjentów z rakiem została opóźniona, dokumentacja medyczna była tymczasowo niedostępna, a w niektórych przypadkach trwale utracona
- tak w raporcie opisany został przykładowy atak na jeden z amerykańskich szpitali.
Fakt, że w ubiegłym roku w Stanach Zjednoczonych nie było żadnych zgonów związanych z oprogramowaniem ransomware, wynikał po prostu ze szczęścia. Należy wzmocnić bezpieczeństwo w całym sektorze publiczny, zanim skończy się szczęście, a ludzie stracą życie"
- podkreśla Fabian Wosar, dyrektor ds. technicznych w firmie Emsisoft.