Ч.1 По поводу сообщения Bloomberg о выплате Colonial Pipeline $5 млн. хакерам биткоинами.
Bloomberg пишет, что выкуп был заплачен оператором трубопровода через несколько часов после «инцидента» 07.05.21г. и после получения средств хакеры сразу же передали Colonial Pipeline ключ для расшифровки данных. Но в своём заявлении после «взлома», пресс-служба Colonial Pipeline сообщила, что выкуп компания решила не платить и по этой причине САМА остановила трубопровод.
Какой в этом смысл, если трубопровод работал и без того, чтобы его останавливать не выплачивая выкуп? Если верить пресс-службе. Опять же, инцидент произошёл в прошлый четверг, а заявление компании-оператора вышло в субботу, через день. С дополнением о ведущихся работах по восстановлению функционирования системы. Которую, всё-таки, вчера, почти через неделю, восстановили.
Кто врёт? Или, пытаясь сохранить «лицо», компания лгала о самостоятельной остановке трубопровода заблокированного хакерами, якобы с целью не поддаваться на шантаж, пытаясь решить проблему самостоятельно или с помощью американских киберспецслужб. Или врёт Bloomberg в своём сообщении о быстрой выплате Colonial Pipeline выкупа хакерам. Или нечто другое?
Допустим, часть выкупа компания-оператор заплатила, или не заплатила, в дело вмешалось Агентство по обеспечению инфраструктурной и кибербезопасности США и со словами «это не наш метод» (в смысле не платить или не платить дальше) взяло «всё на себя» вместе с компаньонами из FBI. В смысле, «мы круты, как рождественские яйца-хакеров найдём, гамбургер из них сделаем, трубопроводную систему восстановим». Получилось как-то не очень, за исключением выпущенных 11.05.21г. CSIA и FBI рекомендаций по кибербезопасности, в которых описывается программа-вымогатель DarkSide и связанные с ней стратегии снижения рисков.
Другой вариант. СР выкуп честно заплатила, но далее что-то пошло не так. Вплоть до вчерашнего дня. Вопрос, что могло пойти «не так» и по каким причинам?
В среду, после очередного восстановления сайта, СР сообщила, что «возобновлена
работа системы МНПП в штатном режиме после почти недели простоя из-за кибератаки». Типа, технологические запасы топлива в трубопроводе были израсходованы и на их пополнение, поскольку без них топливо для потребителей качать по трубе нельзя, нужно время.
На вечер 12.05.21г. обстановка с закрытием АЗС в разных восточных штатах по причине отсутствия на них топлива была такой:
Джорджия – 46%
Алабама – 8%
Теннеси – 19%
Южная Каролина – 48%
Северная Каролина – 69%
Флорида – 16%
Вирджиния – 52%
Мэрилэнд – 15%
Миссисипи – 6%
Западная Вирджиния – 6%
Кентукки – 3%
округ Колумбия(Вашингтон) – 15%
Нью-Джерси – 1%
Делавэр – 3%
(https://aftershock.news/?q=node/976444)
Ещё больше непонимания. Если СР заплатила выкуп сразу 07.05.21г., получила ключи для расшифровки и запустила систему (ну, пусть на это ушли сутки), как за это короткое время могло быть выкачано из ВСЕЙ системы не только «потребительское» топливо, но и техническое?
При этом, та же Касперская давеча объяснила РИА, что обычно «установить происхождение хакера практически невозможно», если он сам «не захочет оставить о себе какую-то информацию», напомнив, что WikiLeaks в 2017г. сообщила о подразделении ЦРУ UMBRAGE, которое занимается мимикрией под различные виды мировых хакерских групп, в частности, из России, Северной Кореи, Китая, Ирана. В связи с этим, по ее мнению, нельзя сказать с уверенностью, что атаку на Colonial Pipeline «произвела хакерская группа из России, или это не было спровоцировано ими самими там, или это не было сделано из какой-то другой страны».
Почему-то, напомнило искусственно созданный дефицит продовольствия в Петрограде зимой 1917г.
Улыбнуло в сообщении «Россия 1»: «Правительство США ищет возможности для аренды перевозки топлива между портами США танкеров принадлежащих другим государствам или с экипажами других государств».
Т.е. «Закон Джонса» существует, и даже работает, но не всегда, и не на территории всех штатов, и не сейчас. НАМ НАДО!!!
Ч.2 ВИШЕНКА НА ТОРТЕ!
Хакерская группировка DarkSide известила о взломе французского отделения Toshiba.
«Ломщики» утверждают, что похитили 740 конфиденциальных данных, включая информацию об управлении, новых предприятиях и личные данные сотрудников. Компания подтвердила, что в ночь на 4 мая подверглась хакерской атаке со стороны DarkSide. В заявлении Toshiba говорится, что был украден лишь минимальный объем рабочих данных.
При этом, по сведениям приведенным на сайте кибергруппы в даркнете, речь идет и о недавних "взломах" итальянской компании Valvitalia, французском вертолетном операторе Heli-Union и крупных американских производителях Irving Materials (стройматериалы) и All American Asphalt. Среди украденной информации адреса корпоративной электронной почты, внутренние документы и личные данные сотрудников, в частности, фотокопии их паспортов.
О суммах назначенной жертвам дани «ломщики» не сообщают. Блюдут конфиденциальность отношений с «клиентами».
Наиболее серьёзные компании занимающиеся киберзащитой делят «хакеров» на несколько специализаций, поскольку видимой частью операций являются именно «операторы»/ «партнёры». Существуют разногласия в иерархии и строении хакерских «пирамид», но в общем и целом система(-ы) выбора ролей в хакерских атаках понятна.
Ролевая система 1:
- Разработчики ПО: занимаются обеспечением необходимых условий для атаки и площадки для переговоров с «клиентами». Занимаются или продажей копий своего ПО операторам «операций» или сдачей в аренду по подписке за долю от выкупа
- Бот-мастеры: спецы имеющие большие Базы Данных Сети по уже заражённым устройствам от компьютеров до смартфонов, роутеров и т.д. Они могут предложить операторам наилучшее устройство для «входа»
- Продавцы доступа: работают уже более прицельно и ищут наиболее уязвимые и «лёгкие» устройства, получают к ним доступ и перепродают/сдают в аренду по подписке свои инструменты/ПО для индивидуального входа четвёртой группе-
- -Операторам. Которые и являются видимой «широкой публике» верхушкой хакерского айсберга. Операторы занимаются непосредственно организацией атак: например, выбирают точку входа в организацию и запускают вирусные/вредоносные ПО
При этом, даже внутри какой-либо из этих операционных групп может происходить (чаще и происходит) более узкоспециализированное «разделение труда». Например, конвейерный метод написания ПО у разработчиков (написание различных частей ПО разными шифровальщиками) или отдельные спецы по выводу/перемещению/оплате партнёрам заработанных финансов у операторов и т.д. При этом, «пропесочивание» «жертвенной» базы данных в поисках и выбора наиболее доступного и «жирного» клиента лежит на операторах.
Ролевая система 2:
- Операторы: именно они и есть разработчики ПО
- Партнёры: эти занимаются поиском и отбором «ломщиков» с нужной для операции специализацией, занимаются организацией атаки, обеспечивают переговорные площадки, ведут переговоры, занимаются выводом денег
- «Ломщики»: добывают наиболее удобный, быстрый и гарантированный доступ в сетевой инфраструктуре жертвы
- Продавцы доступов: см. п. 3 в системе 1
В данной системе, видимой частью команды выступают «партнёры». Но не важно кого как называют. В общем и целом, групповая «специализация труда» понятна.
Оплата труда в командах, также разная.
«Операторы», «партнёры» и «ломщики» получают по 30% от выплаченного результата, продавцы доступов-по 10%. Доля «партнеров»-операторов может быть увеличена до 50% за счет сокращения доли до 10% «оператора»-разработчика ПО и покупки доступа в сеть за фиксированную цену.
Но и внутри групп есть спецы получающие максимальные ставки за «работу»: пентестеры (тестирующие системы/сети жертв на уязвимости и описывающие «путь продвижения» для выкачивания данных из «жертвенной» БД и закачки в неё вирусного/вымогательского ПО) и создатели криптоалгоритмов, непосредственно шифрующих файлы в компьютерных сетях/системах «дорогих клиентов».
На данный момент, самой дорогой атакой по запрошенному выкупу 2021г. является атака команды REvil объявившей 20.04.21г. о своей успешной атаке на одного из подрядчиков Apple-компанию Quanta Сomputer (Тайвань). Хакеры шантажировали не Quanta Сomputer, а именно Apple возможностью публикации/продажи чертежей не анонсированных устройств корпорации. За неразглашение данных REvil изначально требовали заплатить $50 млн. до 01.05.21г. Но 27.04.21г. вся информация по этой операции была ими удалена.
Получили ли они выкуп, получили ли весь (ходила информация, что группа могла снизить свои запросы до $10 млн.), продали ли чертежи конкурентам, дабы долго не разговаривать, или просто решили «закрасить» информационный фон по сделке- истории пока не известно.
Так что, пацаны из команды DarkSide явно продешевили с запрошенной суммой выкупа от Colonial Pipeline. Учитывая все последствия для Восточного побережья США
Комментарии
Как-то незамеченным осталось сие событие...
Может ли хакерский бизнес объединиться/централизоваться в ближайшие 10-15 лет и стать теневым всепланетным правительством? Кто будет официально управлять планетой? Будет ли это похоже на многополярный мир?
Он не объединён, он представляет из себя американские, английские, и другие разведсообщества, которые зарабатывают не только на наркотиках.
И вообще тупо занимаются всем непотребным и тотально бесконтрольным в этой интернет сфере, и все эти якобы хакерские атаки из этой серии, да и судя по всему их услугами воспользовались владельцы.
По сути это террористы под прикрытием государства, и абсолютно не подконтрольны ничему вообще,
А что про эту компанию, так владельцам была кровь из носа необходимость поднять цена на бензин. Они решили через эту якобы "хакерскую" атаку. Ой, как это типично для США.
Как-то незамеченным осталось сие событие...///
///А он не путает века и 1917 с 2017 годом? Тогда да, было дело.
Для Романова, по последствиям, очень замеченным. Да и для России в общем.
Автор оговорился. Правильно будет "зимой 1917г."
А-а-а!! -Семен Семеныч!
Спасибо. Исправлю. :)
В этой истории слишком много всего "не так"...
Ну а в целом, Путин давно предлагал создать международную систему борьбы с хакерами. Обама/Трамп/Байден проигнорировали...
Вроде Бидон уже обмолвился, что на предполагаемой встрече с ВВП поднимет вопрос об инциденте с СР. Д/дипломатов означает: "мы готовы "перетереть" за кибербезопасность"
Перетереть они конечно могут, только США по определению не способны обуздать свои собственные разведслужбы, которые собственно и есть все эти якобы хакеры шмакеры.
Это уже давно вышло из под контроля для США, и давно представляет опасность для всего мира.
Ну вот, зарабатывают как могут, уверен, владельцы их наняли, всё таки все там свои у них.
Поднять тему - может. На что Путин предложит проработать рамки соглашения. В смысле - права и обязанности сторон. И на правах России и обязанностях США Байден стухнет.
В общем, скорее-да. Тем более, основной камень преткновения по этой теме-желание сга оформить в межправе разрешение на открытие боевых действий против гос-в обвиненных ими в кибератаках на сша.
Как доставляют оналитеги, аналлизирующие каких-то мифических хакерофф со всех сторон.
И никто, почему-то , не пытается попробовать версии
а) самострел
б) с ИТ вообще всё было ОК, дело в другом
в) например, в том, что нефть кончилась
Нет, тупо крупным операторам нужно было поднятие цен на бензин, или финанс капут светил по цепочке.
1. "Оналитеги" и не напирают на хакеров. В большей степени "их" интересует по какой причине труба заработала только через неделю, хотя должна была через сутки. Если доверять всяким "источникам".
2. Читайте вдумчивей.
3. Вариантов "зачем/почему"- до черта. Но любой из них будет виден через время. Потому, с радостью приму участие в обсуждении различных предположений.
4. "Нефть закончилась" отметается сразу-нет предпосылок. И даже их запаха.
5. "Самострел"- не понятно. За исключением варианта, что пьяный сисадмин наворотил в обветшалой системе такого, что крайне качественно "положил" всю. Исходя из этого встречный вопрос: в каком же она была состоянии, что ее неделю чинили??
6. Искусственное повышение цен. В теории возможно, но на практике, подобным способом, крайне чревато.
Труба стратегическая и даже в сга их нынешнего состояния такой бардак правительству на йух не нужен. Следовательно, можно запросто нарваться на полномасштабное расследование генпрокуратуры(не считая прокуратур штатов) и того же fbi. А кроме этого на расследование антимонопольного федагентства. Что еще хуже. Потому как, д/того, чтобы downstream подняли и оставили далее рыночно-экстремально взлетевшие цены, "транспортер"(СР), в данном случае, должен одномоментно и надолго поднять цены "не по-деццки". А он монополист на стратегической трубе.
7. Другой вариант. Сговор "киберспецуры" и оператора на вышибание внеочередных лярдов на замену и безопасность киберинфраструктуры, а в еще большей необходимости, безграничных полномочий ради "решения проблем здесь и сейчас" б/уведомления правительства. Что не получилось при Трампе.
8. начало глобальной тренировки "cyber event 2021" ?
9. тренировка - субурбаны без бензина?
в продолжение темы (и версии "тренировка") - янки тоже что-то начинают подозревать:
https://www.zerohedge.com/political/think-gas-shortages-are-bad-buckle
>> This is just a taste of our future under President Joe Biden’s energy policies.
А кто сказал, что публике был озвучен истинный размер выкупа, названный "пацанами"?
Может и нет, но д/хакеров сумма является показателем "крутизны" операции.
Ха-ха. Появляются новые подробности о решении закрыть трубопровод.
Оказывается хакеры взломали не технологические компы, а бухгалтерские. Компания не смогла выставлять счета потребителям и поэтому сама остановила поставки выключив трубопровод.
https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html
И? Им не хватило суток после получения ключа дабы решить бухгалтерские проблемы?
Так пишут.
Э-э-э, как-то не убедительно пишут. Инфу, вроде бы, зашифровали, а не "свистнули". Как зашифровали, так и расшифровали ключом. И?
А вот то, что из-за чп могла "лечь" вся обветшалая киберсистема- более похоже на правду. И за неделю, за счет потребителей, попытались установить нечто по новее и надежнее.
Охотно готов поверить. Бухучёт - дело трудоёмкое и специфическое (мало кто его понимает, поэтому нормально построенные системы - релкость) , поиск кадров "здесь и сейчас" моментально не возможен. Если биллинг вусмерть автоматизирован, а отчётный период автоматически закрылся и были сгенерированы операции закрытия периода... Вполне допускаю, что откат на бекапы, разгребание вручную кучи счетов и закрытие периода в полу ручном режиме может занять неделю.
Да, наиболее вписывающееся в бизнес-культуру США объяснение.
Ну, и заодно выясняется, что порнуху смотрели не суровые инженеры в касках, а серые дядечки-бухгалтера :)
Или тетечки-бухгалтерши
Заметка интересная, но слегка натянута. Видимо Вы не командовали большой ИС.
1. Американцы конечно другие, но ФБР на таком объекте 100% почти в штате
2. Система управления вряд-ли получится да пострадать, ну или восстановления те часы
3. Если вдруг олени совсем, то сначала закупка оборудования, бэкап, восстановление с хакеров и бэкап. А это много дней
4. Уж больно вовремя
Вовремя к чему?