Что не так в истории с Colonial Pipeline и прочий «хакинг»

Colonial Pipeline
БИЗНЕС

Ч.1 По поводу сообщения Bloomberg о выплате Colonial Pipeline $5 млн. хакерам биткоинами.

Bloomberg пишет, что выкуп был заплачен оператором трубопровода через несколько часов после «инцидента» 07.05.21г. и после получения средств хакеры сразу же передали Colonial Pipeline ключ для расшифровки данных. Но в своём заявлении после «взлома», пресс-служба Colonial Pipeline сообщила, что выкуп компания решила не платить и по этой причине САМА остановила трубопровод.

Какой в этом смысл, если трубопровод работал и без того, чтобы его останавливать не выплачивая выкуп? Если верить пресс-службе. Опять же, инцидент произошёл в прошлый четверг, а заявление компании-оператора вышло в субботу, через день. С дополнением о ведущихся работах по восстановлению функционирования системы. Которую, всё-таки, вчера, почти через неделю, восстановили.

Кто врёт? Или, пытаясь сохранить «лицо», компания лгала о самостоятельной остановке трубопровода заблокированного хакерами, якобы с целью не поддаваться на шантаж, пытаясь решить проблему самостоятельно или с помощью американских киберспецслужб. Или врёт Bloomberg в своём сообщении о быстрой выплате Colonial Pipeline выкупа хакерам. Или нечто другое?

Допустим, часть выкупа компания-оператор заплатила, или не заплатила, в дело вмешалось Агентство по обеспечению инфраструктурной и кибербезопасности США и со словами «это не наш метод» (в смысле не платить или не платить дальше) взяло «всё на себя» вместе с компаньонами из FBI. В смысле, «мы круты, как рождественские яйца-хакеров найдём, гамбургер из них сделаем, трубопроводную систему восстановим». Получилось как-то не очень, за исключением выпущенных 11.05.21г. CSIA и FBI рекомендаций по кибербезопасности, в которых описывается программа-вымогатель DarkSide и связанные с ней стратегии снижения рисков.

Другой вариант. СР выкуп честно заплатила, но далее что-то пошло не так. Вплоть до вчерашнего дня. Вопрос, что могло пойти «не так» и по каким причинам?

В среду, после очередного восстановления сайта, СР сообщила, что «возобновлена
работа системы МНПП в штатном режиме после почти недели простоя из-за кибератаки». Типа, технологические запасы топлива в трубопроводе были израсходованы и на их пополнение, поскольку без них топливо для потребителей качать по трубе нельзя, нужно время.

На вечер 12.05.21г. обстановка с закрытием АЗС в разных восточных штатах по причине отсутствия на них топлива была такой:

Джорджия – 46%

Алабама – 8%

Теннеси – 19%

Южная Каролина – 48%

Северная Каролина – 69%

Флорида – 16%

Вирджиния – 52%

Мэрилэнд – 15%

Миссисипи – 6%

Западная Вирджиния – 6%

Кентукки – 3%

округ Колумбия(Вашингтон) – 15%

Нью-​Джерси – 1%

Делавэр – 3%

Ещё больше непонимания. Если СР заплатила выкуп сразу 07.05.21г., получила ключи для расшифровки и запустила систему (ну, пусть на это ушли сутки), как за это короткое время могло быть выкачано из ВСЕЙ системы не только «потребительское» топливо, но и техническое?

При этом, та же Касперская давеча объяснила РИА, что обычно «установить происхождение хакера практически невозможно», если он сам «не захочет оставить о себе какую-​то информацию», напомнив, что WikiLeaks в 2017г. сообщила о подразделении ЦРУ UMBRAGE, которое занимается мимикрией под различные виды мировых хакерских групп, в частности, из России, Северной Кореи, Китая, Ирана. В связи с этим, по ее мнению, нельзя сказать с уверенностью, что атаку на Colonial Pipeline «произвела хакерская группа из России, или это не было спровоцировано ими самими там, или это не было сделано из какой-​то другой страны».

Почему-то, напомнило искусственно созданный дефицит продовольствия в Петрограде зимой 1917г.

Улыбнуло в сообщении «Россия 1»: «Правительство США ищет возможности для аренды перевозки топлива между портами США танкеров принадлежащих другим государствам или с экипажами других государств».

Т.е. «Закон Джонса» существует, и даже работает, но не всегда, и не на территории всех штатов, и не сейчас. НАМ НАДО!!!

Ч.2 ВИШЕНКА НА ТОРТЕ!

Хакерская группировка DarkSide известила о взломе французского отделения Toshiba.

«Ломщики» утверждают, что похитили 740 конфиденциальных данных, включая информацию об управлении, новых предприятиях и личные данные сотрудников. Компания подтвердила, что в ночь на 4 мая подверглась хакерской атаке со стороны DarkSide. В заявлении Toshiba говорится, что был украден лишь минимальный объем рабочих данных.

При этом, по сведениям приведенным на сайте кибергруппы в даркнете, речь идет и о недавних «взломах» итальянской компании Valvitalia, французском вертолетном операторе Heli-Union, крупных американских производителях Irving Materials (стройматериалы) и All American Asphalt. Среди украденной информации адреса корпоративной электронной почты, внутренние документы и личные данные сотрудников, в частности, фотокопии их паспортов.

О суммах назначенной жертвам дани «ломщики» не сообщают. Блюдут конфиденциальность отношений с «клиентами».

Наиболее серьёзные компании занимающиеся киберзащитой делят «хакеров» на несколько специализаций, поскольку видимой частью операций являются именно «операторы»/ «партнёры». Существуют разногласия в иерархии и строении хакерских «пирамид», но в общем и целом система(-ы) выбора ролей в хакерских атаках понятна.

Ролевая система 1:

  1. Разработчики ПО: занимаются обеспечением необходимых условий для атаки и площадки для переговоров с «клиентами». Занимаются или продажей копий своего ПО операторам «операций» или сдачей в аренду по подписке за долю от выкупа
  2. Бот-мастеры: спецы имеющие большие Базы Данных Сети по уже заражённым устройствам от компьютеров до смартфонов, роутеров и т.д. Они могут предложить операторам наилучшее устройство для «входа»
  3. Продавцы доступа: работают уже более прицельно и ищут наиболее уязвимые и «лёгкие» устройства, получают к ним доступ и перепродают/сдают в аренду по подписке свои инструменты/ПО для индивидуального входа четвёртой группе-
  4. -Операторам. Которые и являются видимой «широкой публике» верхушкой хакерского айсберга. Операторы занимаются непосредственно организацией атак: например, выбирают точку входа в организацию и запускают вирусные/вредоносные ПО

При этом, даже внутри какой-либо из этих операционных групп может происходить (чаще и происходит) более узкоспециализированное «разделение труда». Например, конвейерный метод написания ПО у разработчиков (написание различных частей ПО разными шифровальщиками) или отдельные спецы по выводу/перемещению/оплате партнёрам заработанных финансов у операторов и т.д. При этом, «пропесочивание» «жертвенной» базы данных в поисках и выбора наиболее доступного и «жирного» клиента лежит на операторах.

Ролевая система 2:

  1. Операторы: именно они и есть разработчики ПО
  2. Партнёры: эти занимаются поиском и отбором «ломщиков» с нужной для операции специализацией, занимаются организацией атаки, обеспечивают переговорные площадки, ведут переговоры, занимаются выводом денег
  3. «Ломщики»: добывают наиболее удобный, быстрый и гарантированный доступ в сетевой инфраструктуре жертвы
  4. Продавцы доступов: см. п. 3 в системе 1

В данной системе, видимой частью команды выступают «партнёры». Но не важно кого как называют. В общем и целом, групповая «специализация труда» понятна.

Оплата труда в командах, также разная.

«Операторы», «партнёры» и «ломщики» получают по 30% от выплаченного результата, продавцы доступов-по 10%. Доля «партнеров»-операторов может быть увеличена до 50% за счет сокращения доли до 10% «оператора»-разработчика ПО и покупки доступа в сеть за фиксированную цену.

Но и внутри групп есть спецы получающие максимальные ставки за «работу»: пентестеры (тестирующие системы/сети жертв на уязвимости и описывающие «путь продвижения» для выкачивания данных из «жертвенной» БД и закачки в неё вирусного/вымогательского ПО) и создатели криптоалгоритмов, непосредственно шифрующих файлы в компьютерных сетях/системах «дорогих клиентов».

На данный момент, самой дорогой атакой по запрошенному выкупу 2021г. является атака команды REvil объявившей 20.04.21г. о своей успешной атаке на одного из подрядчиков Apple-компанию Quanta Сomputer (Тайвань). Хакеры шантажировали не Quanta Сomputer, а именно Apple возможностью публикации/продажи чертежей не анонсированных устройств корпорации. За неразглашение данных REvil изначально требовали заплатить $50 млн. до 01.05.21г. Но 27.04.21г. вся информация по этой операции была ими удалена.

Получили ли они выкуп, получили ли весь (ходила информация, что группа могла снизить свои запросы до $10 млн.), продали ли чертежи конкурентам, дабы долго не разговаривать, или просто решили «закрасить» информационный фон по сделке- истории пока не известно.

Так что, пацаны из команды DarkSide явно продешевили с запрошенной суммой выкупа от Colonial Pipeline. Учитывая все последствия для Восточного побережья США.

0

Автор публикации

не в сети 4 месяца

Glor Salivan

4
Комментарии: 2Публикации: 116Регистрация: 10-04-2020
На германском химическом заводе Bayer прозвучал сильный взрыв
В Японии возмущены визитом Мишустина на Курилы и его обещанием о беспрецедентной поддержке
После парада ко дню ВМФ последовала оценка Путина вооружений Военно-морского флота России
Россия и США проведут переговоры на высоком уровне для урегулирования спорных вопросов
В Центробанке России заявили о рекордном повышении ключевой ставки за последние пять лет
Протасевичем названы настоящие организаторы протестов в Белоруссии
Талибы заявили, что не будут начинать новые операции при Курбан-байраме и сохранят оборонительную позицию
США и Россия обменялись комментариями о запуске гиперзвуковой ракеты «Циркон»
ЕС и США обвинили Китай в проведении кибератак и совершении киберпреступлений
Польша и Венгрия могут привести к распаду Европейского союза
Поделиться
Комментирование доступно зарегистрированным пользователям

Войдите в свою учетную запись или зарегистрируйтесь.

Топ-новости
В Москве задержаны участники форума «Объединенных демократов» из-за нарушения санитарно-эпидемиологических требований
В Москве задержаны участники форума «Объединенных демократов»
Россия

В субботу 13 марта представители МВД сообщили, что в Москве задержаны участники форума «Объединенных демократов»…

0
На германском химическом заводе Bayer прозвучал сильный взрыв
На германском химическом заводе Bayer прозвучал сильный взрыв
ЕВРОПА

Во вторник 27 июля на германском химическом заводе Bayer прозвучал сильный взрыв. Исходя из сообщений…

0
Новости по категориям
Стать членом клуба
Ознакомиться с правилами членства Вступить в членство
Написать редактору
По вопросам развития журнала
Написать редактору