Анализатор: След Colonial Pipeline и компании, и държави, ще трябва да се съобразяват с новата киберкриминална реалност
Даже е малко странно, че по-рано не станахме свидетели на хакерска атака с такива мащабни последици, смята Иван Лебедев
Към момента историята не познаваше нищо подобно на принудителното спиране на най-големия тръбопровод в САЩ след хакерската атака срещу Colonial Pipeline. Въпреки това от случилото се никой не трябва да се учудва. Рано или късно щеше да има кибератака срещу някоя голяма инфраструктурна система. Даже бих казал, че е малко странно как това се случи едва сега, а не по-рано. Това казва в свой анализ на ситуацията, развила се през последната седмица, Иван Лебедев, анализатор на ТАСС, в материала си, озаглавен „Изнудване или диверсия? Хакерската атака на тръбопровода в сащ беше предсказуема“.
Системата от тръбопроводите, която пренася от бреговете на Мексиканския залив до източната част на САЩ 45% от използваните там бензин, дизел и авиационен керосин, спря работа в края на миналата седмица. Преди ден и половина Colonial Pipeline започна да възстановява работата на системата, но към напълно нормалния си режим на работа петролопроводите ще се върнат след няколко дни.
„Тази кибератака засегна енергийната система на САЩ и й оказа най-голямото въздействие от всичко, което сме виждали до момента“, казва шефът на компанията за киберсигурност Dragos Робърт Лий. Според думите му през последните 7-8 месеца все повече и по-често промишлени и търговски фирми са ставали жертва на хакерски атаки с цел изнудване. Опити за нерегламентирано проникване в компютърните им системи на практика са ежедневие и даже това придобива характер на епидемия. А също така и болшинството от случаите не стават публично достояние, като така до обществото знае само за „върха на айсберга“. „Мисля, че ще станем свидетели на още повече такива случаи“, коментира Лий пред списание Wired.
В САЩ подозират, че зад нападението срещу Colonial Pipeline стои хакерската група DarkSide, която, според данни на местните спецслужби, действа от територията на Русия или Източна Европа, но няма връзки с нито едно от правителствата там. На третия ден след кибератаката ФБР излезе с кратко изявление, от което стана ясно, че отговорност за случая трябва да понесат криминални субекти. Москва, която още в началото традиционно се оказа сред обичайните заподозрени, от своя страна отхвърли категорично тази версия.
DarkSide са добре известни на американските спецслужби, но никога не са били подозирани за толкова мащабни престъпления преди случая с Colonial Pipeline. Според информация на експерти по киберсигурност на компанията Cybereason, груировката, която използва вируси, за да блокира софтуера и работата на търговски дружества, вече е извършила над 40 такива атаки, е изнудвала различните си жертви за между 200 хил. и 2 млн. долара. Парите са били искани както за отключване на блокирания достъп до системите на съответната атакувана компания, така и за откуп на похитена фирмена информация. И, ако жертвата не се подаде на рекета, въпросните данни са щели да бъдат публично разпространени.
По-рано днес стана ясно, че Colonial Pipeline вече са станали най-голямата жертва на DarkSide, поне що се отнася до „измъкнатата“ от хакерите сума. Според непотвърдени официално данни на източници на Bloomberg, операторът на петролопроводите е платил около 5 млн. долара. Което, ако се окаже вярно, би било най-големият „удар“ за групата DarkSide до момента. Паралелно с това обаче източници на The Washington Post твърдят, че още в началото Coloniyl Pipeline е отказала да плати какъвто и да било откуп.
Самата хакерска група DarkSide разпространи съобщение, в което твърди, че е аполитична, единствената й цел е „да прави пари“ и не желае „да създава проблеми на обществото“. Но атаката срещу Colonial Pipeline докара проблеми и то никак не малки – в 19 американски щата бе обявено извънредно положение заради дефицита на горива, цените на бензина, макар и не за дълго, скочиха до най-високите си нива от години насам, рафинериите в Тексас бяха принудени да свият производството си. В същото време петролните компании се наложи да резервират танкери за доставка на бензин от Европа, стигна се даже и до спиране на Закона за търговския флот – документ с едновековна давност, който разрешава превоз на петрол и петролни продукти в териториалните води на САЩ само на американски съдове.
Така рекетът се превърна в истинска диверсия. До „енергиен Пърл Харбър“, за каквото предупреждаваха някои експерти, не се стигна, но загубите от ситуацията ще струват десетки, ако не и стотици милиони долари. Трябва да се отчете, че от кибератаката и последвалата ситуация пострадаха не само големи компании и държавни институции, но и обикновените данъкоплатци. Така че заявленията на хакерите от DarkSide, че се придържат към определени принципи и няма да подлагат на атаки училища, болници и обществени организации, реално не струват нищо, казва Иван Лебедев.
Вярно е, че другите групировки не правят дори и такива изявления. „Тези банди обясняват как има няколко устройства свързани с интернет. Показват къде те са уязвими и откъде може да се проникне в тях. Показват и диапазона на IP-адресите на големите промишлени предприятия. ОК. Започваме големия лов“, казва Робърт Лий. „И това е много сериозно“, добавя шефът на Dragos.
Пожар в кошче за боклук или пълен кошмар
Бившият ръководител на американската Агенция кибер и инфраструктурна сигурност (CISA) Кристофър Кребс нарича кибератаката срещу Colonial Pipeline “пожар в кошче за боклук“. Използваният от него израз dumpster fire обаче на жаргон в САЩ се употребява и като синоним на „пълен кошмар“.
При изказването си пред Камарата на представителите през миналата седмица Кребс заяви: „Дори софтуерът и услугите в интернет бяха по-сигурни, възможностите за бързи пари и липсата на реални последствия означават, че пред онези, които използват програми за изнудване, има никак не лоши перспективи“.
Тези думи на бившия високопоставен държавен служител може да се разтълкуват като признание, че вече на всички ще се наложи да се съобразяват с новата киберкриминална реалност. Но в тях може да се долови и опит да се оправдае за онези недостатъци, които са допуснати от бившата му служба, която влиза в системата на Департамента за вътрешна сигурност на САЩ. Още през 2018 г. в Конгреса стигнаха до извода, че Департамента за вътрешна сигурност не прави необходимото за защитата на петроло- и газопроводите в страната от „аварии, оперативни грешки, умишлени физически нападения и кибератаки“.
Естествено сега властите ще се опитат да отстранят някои недостатъци на системата. Още в сряда президентът на САЩ Джо Байдън подписа указ за усилване на мерките за киберсигурност и защита на правителствените компютърни мрежи. Паралелно председателят на Федералната комисия за енергийно регулиране Ричард Глик обяви, че трябва да бъдат въведени задължителни стандарти в тази сфера, но не само в държавните, а и в частните структури. Според думите му „само призив към операторите на тръбопроводи да следват определени норми няма да бъда достатъчен“.
Къде е тайната?
Престъпното киберизнудване върви рамо до рамо с политическия и промишлен кибершпионаж. От тази гледна точка САЩ предявават претенциите си основно към Китай, Русия, Иран и Северна Корея (американското и британското разузнавания твърдят, че вирусът WannaCry, разпространен в началото на 2017 г., е изпратен в мрежата от Пхенян). Но дали САЩ, бидейки технологично най-развитата държава в света, не правят същото, използвайки за целта и Киберкомандването на въоръжените си сили, и Агенцията за национална сигурност с бюджет от 10 млрд. долара?
В епохата на тотална цифровизация да се пазят държавните тайни става все по-трудно и дори щатите не успяват всеки път. „След всеки пробив американските политици се чудят как е могло САЩ отново да бъдат жертва. Разработват нови стратегии за борба със заплахите от чуждо проникване, всяка от които е все по-амбициозна от предходната, но все се случва да ударят на камък“, пише в списание Foreign Affairs водещият анализатор на Центъра за сигурност и нови технологии в Училището на дипломатическата служба на университета в Джорджтаун Бен Бюканън. Паралелно с това той смята, че „тези неуспехи в по-малка степен показват недостатъците на стратегиите за киберсигурност на САЩ, отколкото новата киберреалност“. „Нищо от това, което са способни на направят Съединените щати (или която и да било друга държава), няма да може напълно да предотврати кибершпионажа“, отбелязва Бюканън. Експертът допълва, че няма как напълно да се разреши проблемът с кибершпионажа. Затова трябва просто да се научи да се контролира. Очевидно същото може да се каже и за киберпрестъпността като цяло.
Трябва споразумение
Появата на нова криминална киберсреда изисква нови методи за борба с престъпността, включително на международно ниво. По тези въпроси, за разлика от кибершпионажа, може да се стигне до споразумение.
„Демократичните държави са длъжни да развият нормите и правилата, за да обезпечат сигурност в цифровия свят“, казва пред Foreign Affairs бившата холандска евродепутатка Мариет Шааке, която в момента работи в Центъра по киберполитики към Станфордския университет. Точно както отделни държави са се съгласили с международното законодателство, регулиращо воденето на война и наличието на ядрени оръжия, те са длъжни да сключат споразумение за отблъскване на опасностите в киберпространството. Виновниците за кибератаки твърде дълго останаха ненаказани“, казва още Шааке.
Москва отдавна предлага на Вашингтон да се подновят междуведомствените консултации по въпросите на киберсигурността. През септември м.г. Владимир Путин предложи на САЩ редица инициативи, отнасящи се до сътрудничеството в тази сфера. След атаката срещу Colonial Pipeline американският президент Джо Байдън, отговаряйки на журналистически въпрос в Белия дом, даде да се разбере, че би искал да обсъди проблемите в тази сфера с руския си колега на среща, която може да се състои лятото в някоя от европейските столици.