Что не так в истории с Colonial Pipeline и прочий «хакинг»

Ч.1  По поводу сообщения Bloomberg о выплате Colonial Pipeline $5 млн. хакерам биткоинами.

Bloomberg пишет, что выкуп был заплачен оператором трубопровода через несколько часов после «инцидента» 07.05.21г. и после получения средств хакеры сразу же передали Colonial Pipeline ключ для расшифровки данных. Но в своём заявлении после «взлома», пресс-служба Colonial Pipeline сообщила, что выкуп компания решила не платить и по этой причине САМА остановила трубопровод.

Какой в этом смысл, если трубопровод работал и без того, чтобы его останавливать не выплачивая выкуп? Если верить пресс-службе. Опять же, инцидент произошёл в прошлый четверг, а заявление компании-оператора вышло в субботу, через день. С дополнением о ведущихся работах по восстановлению функционирования системы. Которую, всё-таки, вчера, почти через неделю, восстановили.

Кто врёт? Или, пытаясь сохранить «лицо», компания лгала о самостоятельной остановке трубопровода заблокированного хакерами, якобы с целью не поддаваться на шантаж, пытаясь решить проблему самостоятельно или с помощью американских киберспецслужб. Или врёт Bloomberg в своём сообщении о быстрой выплате Colonial Pipeline выкупа хакерам. Или нечто другое?

Допустим, часть выкупа компания-оператор заплатила, или не заплатила, в дело вмешалось Агентство по обеспечению инфраструктурной и кибербезопасности США и со словами «это не наш метод» (в смысле не платить или не платить дальше) взяло «всё на себя» вместе с компаньонами из FBI. В смысле, «мы круты, как рождественские яйца-хакеров найдём, гамбургер из них сделаем, трубопроводную систему восстановим». Получилось как-то не очень, за исключением выпущенных 11.05.21г. CSIA и FBI рекомендаций по кибербезопасности, в которых описывается программа-вымогатель DarkSide и связанные с ней стратегии снижения рисков.

Другой вариант. СР выкуп честно заплатила, но далее что-то пошло не так. Вплоть до вчерашнего дня. Вопрос, что могло пойти «не так» и по каким причинам?

В среду, после очередного восстановления сайта, СР сообщила, что «возобновлена

работа системы МНПП в штатном режиме после почти недели простоя из-за кибератаки». Типа, технологические запасы топлива в трубопроводе были израсходованы и на их пополнение, поскольку без них топливо для потребителей качать по трубе нельзя, нужно время.

На вечер 12.05.21г. обстановка с закрытием АЗС в разных восточных штатах по причине отсутствия на них топлива была такой:

Джорджия – 46%

Алабама – 8%

Теннеси – 19%

Южная Каролина – 48%

Северная Каролина – 69%

Флорида – 16%

Вирджиния – 52%

Мэрилэнд – 15%

Миссисипи – 6%

Западная Вирджиния – 6%

Кентукки – 3%

округ Колумбия(Вашингтон) – 15%

Нью-Джерси – 1%

Делавэр – 3%

Ещё больше непонимания. Если СР заплатила выкуп сразу 07.05.21г., получила ключи для расшифровки и запустила систему (ну, пусть на это ушли сутки), как за это короткое время могло быть выкачано из ВСЕЙ системы не только «потребительское» топливо, но и техническое?

При этом, та же Касперская давеча объяснила РИА, что обычно «установить происхождение хакера практически невозможно», если он сам «не захочет оставить о себе какую-то информацию», напомнив, что WikiLeaks в 2017г. сообщила о подразделении ЦРУ UMBRAGE, которое занимается мимикрией под различные виды мировых хакерских групп, в частности, из России, Северной Кореи, Китая, Ирана. В связи с этим, по ее мнению, нельзя сказать с уверенностью, что атаку на Colonial Pipeline «произвела хакерская группа из России, или это не было спровоцировано ими самими там, или это не было сделано из какой-то другой страны».

Почему-то, напомнило искусственно созданный дефицит продовольствия в Петрограде зимой 1917г.

Улыбнуло в сообщении «Россия 1»: «Правительство США ищет возможности для аренды перевозки топлива между портами США танкеров принадлежащих другим государствам или с экипажами других государств».

Т.е. «Закон Джонса» существует, и даже работает, но не всегда, и не на территории всех штатов, и не сейчас. НАМ НАДО!!!

Ч.2  ВИШЕНКА НА ТОРТЕ!

Хакерская группировка DarkSide известила о взломе французского отделения Toshiba.

«Ломщики» утверждают, что похитили 740 конфиденциальных данных, включая информацию об управлении, новых предприятиях и личные данные сотрудников. Компания подтвердила, что в ночь на 4 мая подверглась хакерской атаке со стороны DarkSide. В заявлении Toshiba говорится, что был украден лишь минимальный объем рабочих данных.

При этом, по сведениям приведенным на сайте кибергруппы в даркнете, речь идет и о недавних «взломах» итальянской компании Valvitalia, французском вертолетном операторе Heli-Union, крупных американских производителях Irving Materials (стройматериалы) и All American Asphalt. Среди украденной информации адреса корпоративной электронной почты, внутренние документы и личные данные сотрудников, в частности, фотокопии их паспортов.

О суммах назначенной жертвам дани «ломщики» не сообщают. Блюдут конфиденциальность отношений с «клиентами».

Наиболее серьёзные компании занимающиеся киберзащитой делят «хакеров» на несколько специализаций, поскольку видимой частью операций являются именно «операторы»/ «партнёры». Существуют разногласия в иерархии и строении хакерских «пирамид», но в общем и целом система(-ы) выбора ролей в хакерских атаках понятна.

Ролевая система 1:

1. Разработчики ПО: занимаются обеспечением необходимых условий для атаки и площадки для переговоров с «клиентами». Занимаются или продажей копий своего ПО операторам «операций» или сдачей в аренду по подписке за долю от выкупа

2. Бот-мастеры: спецы имеющие большие Базы Данных Сети по уже заражённым устройствам от компьютеров до смартфонов, роутеров и т.д. Они могут предложить операторам наилучшее устройство для «входа»

3. Продавцы доступа: работают уже более прицельно и ищут наиболее уязвимые и «лёгкие» устройства, получают к ним доступ и перепродают/сдают в аренду по подписке свои инструменты/ПО для индивидуального входа четвёртой группе-

4. -Операторам. Которые и являются видимой «широкой публике» верхушкой хакерского айсберга. Операторы занимаются непосредственно организацией атак: например, выбирают точку входа в организацию и запускают вирусные/вредоносные ПО

При этом, даже внутри какой-либо из этих операционных групп может происходить (чаще и происходит) более узкоспециализированное «разделение труда». Например, конвейерный метод написания ПО у разработчиков (написание различных частей ПО разными шифровальщиками) или отдельные спецы по выводу/перемещению/оплате партнёрам заработанных финансов у операторов и т.д. При этом, «пропесочивание» «жертвенной» базы данных в поисках и выбора наиболее доступного и «жирного» клиента лежит на операторах.

Ролевая система 2:

1. Операторы: именно они и есть разработчики ПО

2. Партнёры: эти занимаются поиском и отбором «ломщиков» с нужной для операции специализацией, занимаются организацией атаки, обеспечивают переговорные площадки, ведут переговоры, занимаются выводом денег

3. «Ломщики»: добывают наиболее удобный, быстрый и гарантированный доступ в сетевой инфраструктуре жертвы

4. Продавцы доступов: см. п. 3 в системе 1

В данной системе, видимой частью команды выступают «партнёры». Но не важно кого как называют. В общем и целом, групповая «специализация труда» понятна.

Оплата труда в командах, также разная.

«Операторы», «партнёры» и «ломщики» получают по 30% от выплаченного результата, продавцы доступов-по 10%. Доля «партнеров»-операторов может быть увеличена до 50% за счет сокращения доли до 10% «оператора»-разработчика ПО и покупки доступа в сеть за фиксированную цену.

Но и внутри групп есть спецы получающие максимальные ставки за «работу»: пентестеры (тестирующие системы/сети жертв на уязвимости и описывающие «путь продвижения» для выкачивания данных из «жертвенной» БД и закачки в неё вирусного/вымогательского ПО) и создатели криптоалгоритмов, непосредственно шифрующих файлы в компьютерных сетях/системах «дорогих клиентов».

На данный момент, самой дорогой атакой по запрошенному выкупу 2021г. является атака команды REvil объявившей 20.04.21г. о своей успешной атаке на одного из подрядчиков Apple-компанию Quanta Сomputer (Тайвань). Хакеры шантажировали не Quanta Сomputer, а именно Apple возможностью публикации/продажи чертежей не анонсированных устройств корпорации. За неразглашение данных REvil изначально требовали заплатить $50 млн. до 01.05.21г. Но 27.04.21г. вся информация по этой операции была ими удалена.

Получили ли они выкуп, получили ли весь (ходила информация, что группа могла снизить свои запросы до $10 млн.), продали ли чертежи конкурентам, дабы долго не разговаривать, или просто решили «закрасить» информационный фон по сделке- истории пока не известно.

Так что, пацаны из команды DarkSide явно продешевили с запрошенной суммой выкупа от Colonial Pipeline. Учитывая все последствия для Восточного побережья США 

P.S.: если вам понравилась статья- не забывайте её рекомендовать.

Заранее спасибо :)