Что не так в истории с Colonial Pipeline и прочий «хакинг»

1 182

По поводу сообщения Bloomberg о выплате Colonial Pipeline $5 млн. хакерам биткоинами.

Bloomberg пишет, что выкуп был заплачен оператором трубопровода через несколько часов после «инцидента» 07.05.21г. и после получения средств хакеры сразу же передали Colonial Pipeline ключ для расшифровки данных. Но в своём заявлении после «взлома», пресс-​служба Colonial Pipeline сообщила, что выкуп компания решила не платить и по этой причине САМА остановила трубопровод.

Какой в этом смысл, если трубопровод работал и без того, чтобы его останавливать не выплачивая выкуп? Если верить пресс-​службе. Опять же, инцидент произошёл в прошлый четверг, а заявление компании-​оператора вышло в субботу, через день. С дополнением о ведущихся работах по восстановлению функционирования системы. Которую, всё-​таки, вчера, почти через неделю, восстановили.

Кто врёт? Или, пытаясь сохранить «лицо», компания лгала о самостоятельной остановке трубопровода заблокированного хакерами, якобы с целью не поддаваться на шантаж, пытаясь решить проблему самостоятельно или с помощью американских киберспецслужб. Или врёт Bloomberg в своём сообщении о быстрой выплате Colonial Pipeline выкупа хакерам. Или нечто другое?

Допустим, часть выкупа компания-​оператор заплатила, или не заплатила, в дело вмешалось Агентство по обеспечению инфраструктурной и кибербезопасности США и со словами «это не наш метод» (в смысле не платить или не платить дальше) взяло «всё на себя» вместе с компаньонами из FBI. В смысле, «мы круты, как рождественские яйца-​хакеров найдём, гамбургер из них сделаем, трубопроводную систему восстановим». Получилось как-​то не очень, за исключением выпущенных 11.05.21г. CSIA и FBI рекомендаций по кибербезопасности, в которых описывается программа-​вымогатель DarkSide и связанные с ней стратегии снижения рисков.

Другой вариант. СР выкуп честно заплатила, но далее что-​то пошло не так. Вплоть до вчерашнего дня. Вопрос, что могло пойти «не так» и по каким причинам?

В среду, после очередного восстановления сайта, СР сообщила, что «возобновлена

работа системы МНПП в штатном режиме после почти недели простоя из-за кибератаки». Типа, технологические запасы топлива в трубопроводе были израсходованы и на их пополнение, поскольку без них топливо для потребителей качать по трубе нельзя, нужно время.

На вечер 12.05.21г. обстановка с закрытием АЗС в разных восточных штатах по причине отсутствия на них топлива была такой:
Джорджия – 46%
Алабама – 8%
Теннеси – 19%
Южная Каролина – 48%
Северная Каролина – 69%
Флорида – 16%
Вирджиния – 52%
Мэрилэнд – 15%
Миссисипи – 6%
Западная Вирджиния – 6%
Кентукки – 3%
округ Колумбия(Вашингтон) – 15%
Нью-​Джерси – 1%
Делавэр – 3%

Ещё больше непонимания. Если СР заплатила выкуп сразу 07.05.21г., получила ключи для расшифровки и запустила систему (ну, пусть на это ушли сутки), как за это короткое время могло быть выкачано из ВСЕЙ системы не только «потребительское» топливо, но и техническое?

При этом, та же Касперская давеча объяснила РИА, что обычно «установить происхождение хакера практически невозможно», если он сам «не захочет оставить о себе какую-​​то информацию», напомнив, что WikiLeaks в 2017г. сообщила о подразделении ЦРУ UMBRAGE, которое занимается мимикрией под различные виды мировых хакерских групп, в частности, из России, Северной Кореи, Китая, Ирана. В связи с этим, по ее мнению, нельзя сказать с уверенностью, что атаку на Colonial Pipeline «произвела хакерская группа из России, или это не было спровоцировано ими самими там, или это не было сделано из какой-​​то другой страны».

Почему-​то, напомнило искусственно созданный дефицит продовольствия в Петрограде зимой 1917г.

Улыбнуло в сообщении «Россия 1»: «Правительство США ищет возможности для аренды перевозки топлива между портами США танкеров принадлежащих другим государствам или с экипажами других государств».

Т.е. «Закон Джонса» существует, и даже работает, но не всегда, и не на территории всех штатов, и не сейчас. НАМ НАДО!!!

Ч.2 ВИШЕНКА НА ТОРТЕ!

Хакерская группировка DarkSide известила о взломе французского отделения Toshiba.

«Ломщики» утверждают, что похитили 740 конфиденциальных данных, включая информацию об управлении, новых предприятиях и личные данные сотрудников. Компания подтвердила, что в ночь на 4 мая подверглась хакерской атаке со стороны DarkSide. В заявлении Toshiba говорится, что был украден лишь минимальный объем рабочих данных.

При этом, по сведениям приведенным на сайте кибергруппы в даркнете, речь идет и о недавних "взломах" итальянской компании Valvitalia, французском вертолетном операторе Heli-​Union и крупных американских производителях Irving Materials (стройматериалы) и All American Asphalt. Среди украденной информации адреса корпоративной электронной почты, внутренние документы и личные данные сотрудников, в частности, фотокопии их паспортов.

О суммах назначенной жертвам дани «ломщики» не сообщают. Блюдут конфиденциальность отношений с «клиентами».

Наиболее серьёзные компании занимающиеся киберзащитой делят «хакеров» на несколько специализаций, поскольку видимой частью операций являются именно «операторы»/ «партнёры». Существуют разногласия в иерархии и строении хакерских «пирамид», но в общем и целом система(-ы) выбора ролей в хакерских атаках понятна.

Ролевая система 1:

Разработчики ПО: занимаются обеспечением необходимых условий для атаки и площадки для переговоров с «клиентами». Занимаются или продажей копий своего ПО операторам «операций» или сдачей в аренду по подписке за долю от выкупа

Бот-​мастеры: спецы имеющие большие Базы Данных Сети по уже заражённым устройствам от компьютеров до смартфонов, роутеров и т.д. Они могут предложить операторам наилучшее устройство для «входа»

Продавцы доступа: работают уже более прицельно и ищут наиболее уязвимые и «лёгкие» устройства, получают к ним доступ и перепродают/сдают в аренду по подписке свои инструменты/ПО для индивидуального входа четвёртой группе-​

-​Операторам. Которые и являются видимой «широкой публике» верхушкой хакерского айсберга. Операторы занимаются непосредственно организацией атак: например, выбирают точку входа в организацию и запускают вирусные/вредоносные ПО

При этом, даже внутри какой-​либо из этих операционных групп может происходить (чаще и происходит) более узкоспециализированное «разделение труда». Например, конвейерный метод написания ПО у разработчиков (написание различных частей ПО разными шифровальщиками) или отдельные спецы по выводу/перемещению/оплате партнёрам заработанных финансов у операторов и т.д. При этом, «пропесочивание» «жертвенной» базы данных в поисках и выбора наиболее доступного и «жирного» клиента лежит на операторах.

Ролевая система 2:

Операторы: именно они и есть разработчики ПО

Партнёры: эти занимаются поиском и отбором «ломщиков» с нужной для операции специализацией, занимаются организацией атаки, обеспечивают переговорные площадки, ведут переговоры, занимаются выводом денег

«Ломщики»: добывают наиболее удобный, быстрый и гарантированный доступ в сетевой инфраструктуре жертвы

Продавцы доступов: см. п. 3 в системе 1

В данной системе, видимой частью команды выступают «партнёры». Но не важно кого как называют. В общем и целом, групповая «специализация труда» понятна.

Оплата труда в командах, также разная.

«Операторы», «партнёры» и «ломщики» получают по 30% от выплаченного результата, продавцы доступов-​по 10%. Доля «партнеров»-​операторов может быть увеличена до 50% за счет сокращения доли до 10% «оператора»-​разработчика ПО и покупки доступа в сеть за фиксированную цену.

Но и внутри групп есть спецы получающие максимальные ставки за «работу»: пентестеры (тестирующие системы/сети жертв на уязвимости и описывающие «путь продвижения» для выкачивания данных из «жертвенной» БД и закачки в неё вирусного/вымогательского ПО) и создатели криптоалгоритмов, непосредственно шифрующих файлы в компьютерных сетях/системах «дорогих клиентов».

На данный момент, самой дорогой атакой по запрошенному выкупу 2021г. является атака команды REvil объявившей 20.04.21г. о своей успешной атаке на одного из подрядчиков Apple-​компанию Quanta Сomputer (Тайвань). Хакеры шантажировали не Quanta Сomputer, а именно Apple возможностью публикации/продажи чертежей не анонсированных устройств корпорации. За неразглашение данных REvil изначально требовали заплатить $50 млн. до 01.05.21г. Но 27.04.21г. вся информация по этой операции была ими удалена.

Получили ли они выкуп, получили ли весь (ходила информация, что группа могла снизить свои запросы до $10 млн.), продали ли чертежи конкурентам, дабы долго не разговаривать, или просто решили «закрасить» информационный фон по сделке-​ истории пока не известно.

Так что, пацаны из команды DarkSide явно продешевили с запрошенной суммой выкупа от Colonial Pipeline. Учитывая все последствия для Восточного побережья США


Источник

Укрейх придется уничтожить

Вот не гарантирует Байден Путину не членство Украины в НАТО. Да если и гарантирует, и даже подпишет: верить янки – себя не уважать. Как ранее РФ «кинули» с не расширением НАТО на восток...

Как раз и навсегда покончить с необоснованным повышением цен

Недавно вышло большое интервью первого заместителя председателя правительства РФ Андрея Рэмовича Белоусова. В котором он, помимо прочего, сказал, что металлурги за счёт сверхвысоких цен на свою про...

Украина: невозвращенцы

Когда сегодня мы говорим об абсолютной бесперспективности украинства, мы имеем в виду не государственность, которой де-факто уже нет, хоть де-юре она продолжает существовать, а идеологи...

Обсудить
  • > Или нечто другое? Руководство Colonial Pipeline выкуп заплатило, но их кинули. А дальше не важно, кто остановил трубопровод. Скорее всего, сама компания, потому что заблокированным трубопроводом управлять нельзя было.