Разделы
Материалы

"Робин Гуды" с Темной стороны. Кто такие хакеры из DarkSide, которые шантажируют Америку?

Алексей Теплый
Фото: bleepingcomputer.com | DarkSide в переводе означает "темная сторона"

Хакерская группировка заблокировала работу крупнейшего поставщика нефтепродуктов в США. Под вопросом не только цены на бензозаправках, но и работа аэропортов и транспортной системы страны в целом.

7 мая эта новость уже звучала крайне тревожно: СМИ распространили сообщение о дерзкой хакерской атаке. Вирус, который неизвестные запустили в информационную сеть компании Colonial Pipeline, зашифровал данные, отключив к ним доступ. Работа основных линий Colonial Pipeline оказалась парализована. Нюанс в том, что такое Pipeline: компания контролирует работу трубопровода, по которому поступает топливо из Техаса на Восточное побережье США. И это 45% от общего объема очищенных нефтепродуктов, необходимого Восточному побережью.

По состоянию на 10 мая блокада не снята, а ФБР уже официально подтвердила, что речь идет о нападении хакеров из группировки DarkSide. Это хакерское объединение заявило о себе в августе 2020 года и с тех пор держит в напряжении десятки крупных компаний.

Из-за кибератаки и блокировки данных компания Colonial Pipeline приняла решение приостановить работу топливопроводов. На сторону ушли примерно 100 Гб конфиденциальных данных, работа большинства компьютеров и серверов IT-сети компании заблокирована. Утром 10 мая Министерство транспорта США ввело в 17 штатах режим региональной чрезвычайной ситуации: чтобы обеспечить оперативные поставки нефтепродуктов крупным инфраструктурным объектам.

Colonial Pipeline управляет сетью трубопроводов протяженностью более 8 850 км
Фото: Yuri Shkoda from Pexels

Colonial Pipeline управляет сетью трубопроводов протяженностью более 8 850 км, простирающейся от Техаса до Нью-Джерси. Трубопровод компании ежедневно перегоняет 2,5 миллиона баррелей очищенного бензина, дизельного и реактивного топлива с нефтеперерабатывающих заводов на побережье Мексиканского залива в гавань Нью-Йорка и крупные аэропорты страны. Один из главных потребителей топлива от Colonial Pipeline — это аэропорт "Хартсфилд Джексон" в Атланте, который является самым загруженным в мире по пассажиропотоку.

"Грабь награбленное" или Да, это шантаж

Чтобы вернуть доступ к IT-системе и данным, руководство Colonial Pipeline должно заплатить выкуп. Американские агентства без особой уверенности транслируют заявление компании о том, что "работы по восстановлению данных продолжаются" — это может значить, что выкуп либо уже заплатили, либо идут переговоры. Официально считается, что Colonial Pipeline разрабатывает план "перезапуска системы". 

Речь может идти об огромных деньгах: обычно взломщики из DarkSide требуют от 200 тысяч до 2 млн долларов (и как минимум 1 млн долларов уже был выплачен), но в случае с трубопроводом ставки могут быть намного выше.  

Так выглядит требование выкупа от хакеров DarkSide

У DarkSide есть сайт, на котором они публикуют данные об атакованных компаниях, а также вывешивают свои манифесты. В одном из таких пресс-релизов уточнялось, что участники DarkSide считают себя "современными Робин Гудами" — они никогда не совершают атак на некоммерческие и социальные организации (школы, больницы), а только "взимают дань" с крупных компаний. И перенаправляют полученные средства на благотворительные нужды.

Пресс-релиз хакеров DarkSide от 10 августа 2020 года

Мнение специалистов по кибербезопасности относительно DarkSide следующее: это группа опытных хакеров, которые решили "профессионализировать" свою деятельность и поставить на поток. За последние три года хакерские атаки уже обошлись западным странам в десятки миллиардов долларов.

"Они новички, но очень организованные, — говорит в комментарии Reuters Лиор Див, исполнительный директор Бостонской охранной фирмы Cybereason. — Похоже на работу кого-то бывалого".

DarkSide оставляет русский след?

Прямых доказательств того, что за деятельностью DarkSide стоит Россия и ее спецслужбы, нет — о группировке вообще мало что известно. Но считается, что среди участников DarkSide есть граждане РФ, а кроме того, как заявил в комментарии CNN инсайдер из администрации США, эти хакеры никогда не совершают нападений на территории русскоговорящих стран.

Месяц назад, 15 апреля, президент США Джо Байден ввел ряд новых санкций против РФ, указав в качестве причины "вредоносную деятельность". Не в последнюю очередь имелась в виду кибератака на государственные учреждения США, проведенная в 2020 году. Тогда Белый дом совершенно официально заявил, что виновник атаки — Служба внешней разведки РФ. В частности, было взломано программное обеспечение компании SolarWinds Corp., и хакеры получили доступ к данным нескольких тысяч частных компаний и госучреждений. На случившееся отреагировал глава Microsoft Брэд Смит, который заявил, что это "самая масштабная и изощренная кибератака из всех, что когда-либо видел мир".

Согласно указу Байдена, под санкции, в связи с подозрением в причастности к кибератакам, попали шесть российских IT-компаний: технополис "Эра", АО "Пасит", Научно-исследовательский институт специализированных вычислительных устройств и автоматики безопасности, "Необит", АО "Передовые системные технологии" и Positive Technologies.

В понедельник, 10 мая, комментируя ситуацию с Colonial Pipeline, президент США Джо Байден заявил, что прямых доказательств того, что к ЧП причастна Россия, у американской разведки нет — но "есть доказательства того, что вирус-вымогатель действующих субъектов находится в России. И они несут некоторую ответственность за произошедшее".

Ударили по бензоколонкам

"Самый плохой прогноз, который можно дать сейчас – это рост цен на бензин на территории всех штатов вплоть до уровня 2014 года, когда были зафиксированы максимальные цены", – пишет эксперт Bloomberg. Предполагают, что в июне цены серьезно превысят 3 доллара за галлон — а такого не было с осени 2014-го года. Бензин не просто подорожает, предрекают комментаторы, но и станет дефицитным товаром.

В понедельник первых торгах после кибератаки бензиновые фьючерсы в США подскочили более чем на 3%.

Один из главных потребителей топлива от Colonial Pipeline — это аэропорт "Хартсфилд Джексон" в Атланте, который является самым загруженным в мире по пассажиропотоку
Фото: Photofabianni.com from Pexels

"Поставки бензина, дизельного топлива, авиационного керосина, которыми в огромных объемах занималась на Восточном побережье компания Colonial Pipeline, будут прекращены на длительный срок. Прежде всего пострадают крупные клиенты – промышленные и транспортные предприятия, аэропорты и другие объекты, а затем – и простые потребители, которые к началу лету наверняка столкнулся не только с дефицитом бензина, но и с повышением его стоимости", – приводит Bloomberg мнение эксперта из UBS Group AG.

Какими могут быть последствия хакерской атаки на Colonial Pipeline

ФБР в понедельник, 10 мая, подтвердила, что ответственность за кибератаку и шантаж несут именно хакеры из DarkSide. В связи с этим в Белом доме разрабатывается стратегия реагирования, и как ожидается, в ближайшие дни администрация Байдена выпустит специальный указ об усилении инфраструктуры киберзащиты Америки. Президент США в понедельник же заявил, что правительство страны постарается смягчить влияние взлома трубопровода на поставки топлива. По словам Байдена, его администрация прилагает все усилия, чтобы "преследовать преступников-вымогателей".