"Робін Гуди" з Темної сторони. Хто такі хакери з DarkSide, які шантажують Америку?

хакери DarkSide, темна сторона місяця
Фото: bleepingcomputer.com | DarkSide в перекладі означає "темна сторона"

Хакерське угруповання заблокувало роботу найбільшого постачальника нафтопродуктів у США. Під питанням не тільки ціни на бензозаправках, але і робота аеропортів і транспортної системи країни загалом.

7 травня ця новина вже звучала вкрай тривожно: ЗМІ поширили повідомлення про зухвалу хакерську атаку. Вірус, який невідомі запустили в інформаційну мережу компанії Colonial Pipeline, зашифрував дані, відключивши до них доступ. Робота основних ліній Colonial Pipeline виявилася паралізована. Нюанс у тому, що таке Pipeline: компанія контролює роботу трубопроводу, по якому надходить паливо з Техасу на Східне узбережжя США. І це 45% від загального обсягу очищених нафтопродуктів, необхідного Східному узбережжю.

Станом на 10 травня блокада не знята, а ФБР вже офіційно підтвердила, що йдеться про напад хакерів з угруповання DarkSide. Це хакерське об'єднання заявило про себе в серпні 2020 року і відтоді тримає в напрузі десятки великих компаній.

Через кібератаки і блокування даних компанія Colonial Pipeline прийняла рішення призупинити роботу паливопроводів. На сторону пішли приблизно 100 Гб конфіденційних даних, робота більшості комп'ютерів і серверів IT-мережі компанії заблокована. Вранці 10 травня Міністерство транспорту США ввело у 17 штатах режим регіональної надзвичайної ситуації: щоб забезпечити оперативні поставки нафтопродуктів великим інфраструктурним об'єктам.

Colonial Pipeline, трубопровід, поставки нафтопродуктів
Colonial Pipeline управляє мережею трубопроводів протяжністю понад 8 850 км
Фото: Yuri Shkoda from Pexels

Colonial Pipeline управляє мережею трубопроводів протяжністю понад 8 850 км, що тягнеться від Техасу до Нью-Джерсі. Трубопровід компанії щодня переганяє 2,5 мільйона барелів очищеного бензину, дизельного і реактивного палива з нафтопереробних заводів на узбережжі Мексиканської затоки в гавань Нью-Йорка і великі аеропорти країни. Один з головних споживачів палива від Colonial Pipeline — це аеропорт "Хартсфілд Джексон" в Атланті, який є найбільш завантаженим у світі за пасажиропотоком.

"Грабуй награбоване" або Так, це шантаж

Щоб повернути доступ до IT-системи і даних, керівництво Colonial Pipeline має заплатити викуп. Американські агентства без особливої впевненості транслюють заяву компанії про те, що "роботи з відновлення даних тривають" — це може означати, що викуп або вже заплатили, або йдуть переговори. Офіційно вважається, що Colonial Pipeline розробляє план "перезапуску системи".

Може йтися про величезні гроші: зазвичай зломщики з DarkSide вимагають від 200 тисяч до 2 млн доларів (і як мінімум 1 млн доларів вже був виплачений), але у випадку з трубопроводом ставки можуть бути набагато вищими.

хакери DarkSide вимога викупу, скріншот
Так виглядає вимога викупу від хакерів DarkSide

УDarkSide є сайт, на якому вони публікують дані про атаковані компанії, а також вивішують свої маніфести. В одному з таких прес-релізів уточнювалося, що учасники DarkSide вважають себе "сучасними Робін Гудами" — вони ніколи не роблять атак на некомерційні та соціальні організації (школи, лікарні), а тільки "стягують данину" з великих компаній. І перенаправляють отримані кошти на благодійні потреби.

хакери DarkSide, хакери робін гуди, прес-реліз
Прес-реліз хакерів DarkSide від 10 серпня 2020 року

Думка фахівців з кібербезпеки щодо DarkSide наступна: це група досвідчених хакерів, які вирішили "професіоналізувати" свою діяльність і поставити на потік. За останні три роки хакерські атаки вже обійшлися західним країнам у десятки мільярдів доларів.

"Вони новачки, але дуже організовані, — каже в коментарі Reuters Ліор Дів, виконавчий директор Бостонської охоронної фірми Cybereason. — Схоже на роботу кого-то бувалого".

DarkSide залишає російський слід?

Прямих доказів того, що за діяльністю DarkSide стоїть Росія та її спецслужби, немає — про угруповання взагалі мало що відомо. Але вважається, що серед учасників DarkSide є громадяни РФ, а крім того, як заявив в коментарі CNN інсайдер з адміністрації США, ці хакери ніколи не роблять нападів на території російськомовних країн.

Місяць тому, 15 квітня, президент США Джо Байден ввів ряд нових санкцій проти РФ, вказавши як причину "шкідливу діяльність". Не в останню чергу малася на увазі кібератака на державні установи США, проведена у 2020 році. Тоді Білий дім зовсім офіційно заявив, що винуватець атаки — Служба зовнішньої розвідки РФ. Зокрема, взламали програмне забезпечення компанії SolarWinds Corp., і хакери отримали доступ до даних декількох тисяч приватних компаній і держустанов. На те, що трапилося, відреагував глава Microsoft Бред Сміт, який заявив, що це "наймасштабніша і витончена кібератака з усіх, що колись бачив світ".

Згідно з указом Байдена, під санкції, через підозру у причетності до кібератаки, потрапили шість російських IT-компаній: технополіс "Ера", АТ "Пасит", Науково-дослідний інститут спеціалізованих обчислювальних пристроїв і автоматики безпеки, "Необіт", АТ "Передові системні технології" і Positive Technologies.

У понеділок, 10 травня, коментуючи ситуацію з Colonial Pipeline, президент США Джо Байден заявив, що прямих доказів того, що до НП причетна Росія, у американської розвідки немає — але "є докази того, що вірус-вимагач діючих суб'єктів знаходиться в Росії. І вони несуть певну відповідальність за те, що сталося".

Ударили по бензоколонкам

"Найгірший прогноз, який можна дати зараз — це зростання цін на бензин на території всіх штатів аж до рівня 2014 року, коли були зафіксовані максимальні ціни", — пише експерт Bloomberg. Припускають, що у червні ціни серйозно перевищать 3 долари за галон — а такого не було з осені 2014-го року. Бензин не просто подорожчає, прогнозують коментатори, але і стане дефіцитним товаром.

У понеділок перших торгах після кібератаки бензинові ф'ючерси в США підскочили більш ніж на 3%.

компанія Colonial Pipeline, ціни на бензин, ціни на нафтопродукти
Один з головних споживачів палива від Colonial Pipeline — це аеропорт "Хартсфілд Джексон" в Атланті, який є найбільш завантаженим у світі за пасажиропотоком
Фото: Photofabianni.com from Pexels

"Поставки бензину, дизельного палива, авіаційного гасу, якими у величезних обсягах займалася на Східному узбережжі компанія Colonial Pipeline, будуть припинені на тривалий термін. Перш за все постраждають великі клієнти — промислові та транспортні підприємства, аеропорти та інші об'єкти, а потім — і прості споживачі, які до початку літа напевно зіткнувся не лише з дефіцитом бензину, але і з підвищенням його вартості", — наводить Bloomberg думку експерта з UBS Group AG.

Якими можуть бути наслідки хакерської атаки на Colonial Pipeline

ФБР в понеділок, 10 травня, підтвердила, що відповідальність за кібератаку і шантаж несуть саме хакери з DarkSide. Через це у Білому домі розробляється стратегія реагування, і як очікується, в найближчі дні адміністрація Байдена випустить спеціальний указ про посилення інфраструктури кіберзахисту Америки. Президент США в понеділок заявив, що уряд країни постарається пом'якшити вплив взлому трубопроводу на поставки палива. За словами Байдена, його адміністрація докладає всіх зусиль, щоб "переслідувати злочинців-здирників".