Top.Mail.Ru
бизнес

Хакеры пришли за мясом

Фото: Легион-медиа Фото: Легион-медиа

Распространение IT-вирусов в среде американских корпораций приобретает характер эпидемии. Новый объект хакерской атаки — крупнейший производитель мяса концерн JBS. В результате проникновения злоумышленников в IT-сеть компании были остановлены все заводы JBS по производству говядины в США (они обеспечивают четверть всех поставок этого вида мяса в Штатах), на паузу поставлен убой скота в Австралии и работа предприятий концерна в Канаде. В самой компании в произошедшем обвиняют кибегруппировку из России. Это уже вторая хакерская атака, расследование которой ведут на президентском уровне и к которой считают причастными россиян. Эксперты полагают, что сторон, владеющих «вирусным» оружием, в гибридной войне может быть больше. Но, возможно, все проще: никакой политики, just business, приносящий $14 млрд в год.

Белый дом обеспокоен

В среду в американских изданиях появились заголовки «Хакеры пришли за нашим мясом». СМИ сообщают, что нападение могла совершить группировка REvil, ранее взломавшая производителя макбуков Apple на Тайване. На публикации отреагировала пресс-служба Белого дома. По словам заместителя пресс-секретаря Карин Жан-Пьер, во взломе подозревают российских хакеров из России, и по этому вопросу Белый дом начал взаимодействовать с российским правительством.

«В даркнете существует целый бизнес, который строится на хакерских атаках, — со специализацией, расценками, гарантиями результата и пр. Эти люди не обременены моральными принципами, они готовы "убить или ранить" компанию просто за мзду, — подчеркивает заместитель гендиректора по науке и развитию компании ИВК Валерий Андреев. — Такую атаку может совершить любой. Более того, не только любой программист или группа, но и любая страна, которая затаила обиду и стремится взять реванш. В случае с США это может быть Иран, Китай, Палестина и другие. Белоруссия, у которой огромный ИТ-потенциал. Можно заподозрить кого угодно, но без доказательной базы любые обвинения — глупость».

Обвинения в адрес России — классическая геополитика, уверен глава компании «Аванпост» Андрей Конусов. «Упоминание нашей страны в контексте хакерских атак стало элементом создания образа империи зла и поиска новых поводов для давления на Россию с точки зрения санкций. Действительно, русская школа программистов очень сильна и среди хакеров много русскоговорящих, но они действуют в собственных, а не национальных интересах. Когда удобно — в этом разбираются и не смешивают», — подчеркивает Андрей Конусов.

Всего, по данным некоторых СМИ, только группировка DarkSide, которая взяла на себя ответственность за атаку на американскую трубопроводную компанию Colonial Pipeline, с августа прошлого года получила в качестве выкупа не менее $90 млн от 47 жертв.

Это не означает, что компании-жертвы сдались. Как правило, они надеются при содействии спецслужб, банков и IT-специалистов отыграть ситуацию: отследить всю цепочку банковских транзакций и выявить злоумышленников, в чьи карманы лег выкуп.

Напомним, что 7 мая сотрудник диспетчерской Colonial Pipeline обнаружил на служебном компьютере запись с требованием выкупа. Так в компании, ежедневно поставляющей миллионы баррелей углеводородов на восток США, узнали о хакерской атаке, которая парализовала работу топливопровода. Целый день топ-менеджмент решал, платить или не платить. Наконец гендиректор Джозеф Блаунт санкционировал выплату 75 биткоинов (около $4,4 млн) в обмен на ключи дешифрования, чтобы с максимальной скоростью восстановить поставки топлива.

Было из-за чего торопиться. Авиакомпании были вынуждены планировать рейсы с дозаправками. На пике после взлома топлива не было на 16 тысячах заправочных комплексов, и по состоянию на конец мая, как сообщали GasBuddy, около 6 тысяч заправочных станций все еще не работали: почти 40% автозаправочных станций в Вашингтоне и более 20% в Северной Каролине, Джорджии и Южной Каролине. Народ бросился заполнять бензином и дизельным топливом канистры, ведра и даже полиэтиленовые пакеты.

В условиях дефицита стоимость топлива побила 7-летние рекорды.

21 день — среднее время простоя бизнеса после кибератаки.
Полное восстановление компании занимает 287 дней.

За кибератаку придется ответить самой жертве: против Colonial Pipeline подан федеральный иск, так как компания оказалась неспособной защитить должным образом свои информационные системы от атак кибервымогателей. Главу предприятия Джозефа Блаунта вызывают на ковер 9 июня: конгрессмены требуют рассказать, как именно была организована киберзащита компании и как злоумышленники нашли уязвимость.

«Такие атаки учащаются, становясь средством быстрого криминального обогащения. А поскольку зло существует и все о нем знают — ответственность за безопасность лежит на владельце ресурса: раз предупрежден — значит, должен вооружаться», — уверен Валерий Андреев.

Заражения вирусами, по его мнению, — это неряшливость в исполнении регламентов, недоработка «безопасников» на стороне бизнеса.

«В таких компаниях, как Colonial Pipeline, высок уровень автоматизации. Персонала мало, и с точки зрения информбезопасности обучен он плохо. Особенно люди, работающие на местах. А квалифицированные специалисты в центре банально не успевают за развитием атаки. Это беда не только американского гиганта, это общемировая проблема и на Западе, и у нас. В России ситуация осложняется тем, что используются устаревшие версии Windows, которым «сто лет в обед» и которые давным-давно не патчатся на предмет уязвимостей», — замечает Валерий Андреев.

Эксперты признают, что атака на Colonial Pipeline довольно дерзкая акция. Она «поднимает на дыбы» спецслужбы, президент лично принимает решение о выплате выкупа, и расследование идет под его контролем. Приобрести таких врагов — безумное решение. Это очень рисковый бизнес. И не только бизнес: хакерство — один из элементов современной гибридной войны, способ «насолить соседу».

Защиту нефтепроводов на государственном уровне осуществляет созданное в 2001 году, после террористической атаки на башни-близнецы, агентство транспортной безопасности TSA. Первые 10 лет новой структуры были ориентированы на обеспечение физической безопасности объектов — заборов, систем видеонаблюдения, но после 2010 года стали очевидны новые риски: так как критически важные объекты перешли под управление автоматизированных систем, увеличились опасения по поводу кибератак. Однако никаких обязательных правил от TSA повышать киберзащиту для бизнеса не существовало: все полагались на добровольное руководство, разработанное игроками отрасли. Риски и решения, инвестировать в их закрытие или нет, определяли сами компании. Кроме того, как сообщает Washington Post, в Агентстве наблюдалась нехватка сотрудников для квалифицированного цифрового аудита.

Тем не менее Colonial Pipeline в 2020 году было предложено пройти такое исследование, но компания отказалась, сославшись на переезд штаб-квартиры и риски пандемии. Аудит намеревались провести в мае 2021-го. Можно сказать, что его и провели взломщики.

После взлома IT-систем крупнейшего трубопроводчика подход к контролю в сфере кибербезопасности меняется — больше никакой добровольности.

прочитать весь текст

Вопрос, как именно злоумышленники проникли в систему, остается загадкой. Инцидент расследует компания FireEye Mandiant, а ее представители пока воздерживаются от комментариев.

Интересно, что свою лепту в успешность атаки внесли бойцы с кибервымогательством. Еще в январе этого года представители компании Bitdefender, разрабатывающей защитное ПО, заявили о «поразительном прорыве». Специалисты по цифровой безопасности обнаружили уязвимость программы-вымогателя от DarkSide. Оказалось, что банда использует одни и те же цифровые ключи для блокировки и разблокировки нескольких жертв, что помогло бы потенциальным жертвам. Но уже на следующий день после публикации этих данных DarkSide поблагодарила неожиданных помощников, устранила уязвимости и заверила, что «это сделало их лучше и новым компаниям не на что надеяться».

В доказательство этого уже в мае жертвой их атаки пала Colonial Pipeline Co. Если бы публичного выступления Bitdefender не было, возможно, столь жесткого топливного кризиса удалось бы избежать и Colonial Pipeline могла бы незаметно восстановить свою систему с помощью инструмента дешифрования.

Выкуп как спасение

«Я знаю, что это очень спорное решение, — прокомментировал глава компании свои действия. — Признаюсь, мне было неудобно видеть, как деньги уходят к таким людям. Но это было правильное решение для страны».

Однако многие в этом сильно сомневаются, так как выплата выкупа противоречит большинству официальных рекомендаций: бизнес не должен поощрять хакеров. У инициативы перевести саму выплату выкупа в категорию уголовно наказуемых деяний много сторонников, но эксперты сходятся во мнении, что такие запреты следует вводить только после того, как правительства создадут эффективные механизмы поддержки жертв. Есть предложение создать специальный фонд для поддержки пострадавших от действий хакеров компаний.

Пока же не только коммерческие компании, но даже властные структуры в Соединенных Штатах иногда предпочитают заплатить вымогателям, чтобы избежать потери важных данных или не создавать IT-системы с нуля. Например, город Атланта, чья муниципальная сеть была поражена вирусом SamSam в марте 2018 года, не стал платить $51 тыс. в качестве выкупа и потратил $17 млн на восстановление системы.

Балтимор в мае 2019 года отказался выплатить злоумышленникам $76 тыс. и был вынужден создать новую систему за $18 млн.

Программы-вымогатели приносят своим создателям $14 млрд в год. Средний платеж за ключ для дешифровки — 0,3 биткоина. Но при атаках на крупный бизнес или организации выкуп объявляется намного выше. Рекорд среди самых больших отступных, которые были публично подтверждены, на сегодняшний день принадлежит туркомпании CWT Global, которая в июле 2020 года заплатила вымогателям из Ragnar Locker более $4,5 млн в биткоинах.

В мае 2021 года химический концерн Brenntag выкупил за $4,4 млн ключи дешифрования после атаки на североамериканское подразделение, в результате которой было украдено 150 Гб данных. Группа DarkSide, ответственная за преступление, требовала 133,65 биткоинов, на тот момент около $7,5 млн, но до рекорда не дошло — после нескольких дней переговоров выкуп снизили. Столько же заплатила через несколько дней Colonial Pipeline. JBS о выплате выкупа не сообщала.

Еще по теме