Разследващите в най-големия тръбопровод за гориво в САЩ работят за възстановяването от опустошителната кибератака, която прекъсна потока на петрол.
Хакът на Colonial Pipeline се разглежда като една от най-значителните атаки, срещу критична национална инфраструктура, в историята.
Тръбопроводът транспортира почти половината от запасите от гориво на източното крайбрежие и се очаква това да доведе до повишаване на цените, ако прекъсването е дълготрайно.
Как може да бъде хакнат тръбопровод?
За много хора образът на петролната индустрия е тръби, помпи и мазна черна течност, която тече в тях.
В действителност, типът на съвременната технология на Colonial Pipeline е почти изцяло цифров.
Сензори за налягане, термостати, клапани и помпи се използват за наблюдение и контрол на потока на дизелово гориво, бензин и реактивно гориво през стотици километри тръбопроводи.
Colonial дори има високо технологичен робот „умно прасе“ (за проверка на тръбопровода), който се движи през тръбите и проверява за аномалии.
Цялата тази оперативна технология е свързана с централна система.
И както кибер-експерти като Джон Николс, от CheckPoint, обясняват, когато има свързаност, съществува риск от кибератака: „Всички устройства, използвани за управление на съвременен тръбопровод, се контролират от компютри, вместо от хора“, казва той.
„Ако те са свързани с вътрешната мрежа на организацията и тя стане обект на кибератака, тогава самият тръбопровод става уязвим.“
Как нахлуват хакерите?
Директните атаки срещу операционните системи са рядкост, тъй като те обикновено са по-добре защитени, казват експертите.
Така че е по-вероятно хакерите да получат достъп до административната част от компютърната система на Colonial.
„Някои от най-големите атаки, които сме виждали, започват с имейл“, казва г-н Николс.
Служител може да е бил подмамен да изтегли някакъв зловреден софтуер, например.“
„Хакерите ще използват всеки шанс, който получат, за да се закрепят в мрежа.“
Те може да са били в ИТ мрежата на Colonial в продължение на седмици или дори месеци, преди да започнат своята атака.
През февруари хакер получава достъп до водната система на град Флорида и се опитва да вкара „опасно“ количество химикал. Работник вижда това да се случва на екрана му и спира атаката.
По същия начин през зимата 2015-16 г. хакери в Украйна успяват да проникнат в електроцентрала, причинявайки съкращения, засягащи стотици хиляди хора.
Как може да се спре това?
Най-простият начин да се защити операционна технология е тя да се поддържа офлайн, без никаква връзка с интернет.
Но това става все по-трудно за бизнеса, тъй като той все повече разчита на свързани устройства за подобряване на ефективността.
„Традиционно организациите правеха нещо, известно като „въздушен пропуск“, казва експертът по киберсигурност“, Кевин Бомонт.
„Те биха могли да се погрижат, критичните системи да се изпълняват в отделни мрежи, които не са свързани с външни ИТ.“
„Природата на променящия се свят обаче означава, че повечето неща разчитат на свързаността.“
Кои са хакерите?
ФБР потвърди, че е отговорна DarkSide, сравнително нова, но плодовита банда за рансъмуер, за която се смята, че е базирана в Русия.
Необичайно е престъпните групи да атакуват „критична национална инфраструктура“ – но експерти като Анди Нортън от киберзащитника, Армис, твърдят, че това е нарастваща опасност.
„Това, което виждаме сега, е, че бандите за рансъмуер узряват“, казва той. „Когато е засегната важна обществена услуга, има повече шанс те да получат откуп.“
Интересно е, че DarkSide публикува нещо като извинение за хака на своя уебсайт darknet.
Макар да не назова пряко Colonial, извинението се позова на „днешните новини“, като гласи: „Нашата цел е да печелим пари, а не да създаваме проблеми на обществото.“
Подобно на много други групи, DarkSide изпълнява партньорска програма, позволяваща на „партньорите“ да използват техния зловреден софтуер за атака на цели, в замяна на процент от печалбите от откупа.
DarkSide преди това обяви, че ще започне да дарява част от парите, получени от откупа, на благотворителни организации.
Как могат да бъдат защитени критичните услуги?
Експертите отдавна са загрижени от хакването на критична национална инфраструктура.
Миналия месец глобалната коалиция от експерти на Ransomware Task Force го нарече „риск за националната сигурност“.
Групата казва, че правителствата трябва да предприемат спешни действия, за да предотвратят плащането на откупи. Тя също така иска да се окаже натиск върху страни като Русия, Иран и Северна Корея, които редовно са обвинявани в приютяване на групи, занимаващи се с това.
Източник: BBC
