Что не так в истории с Colonial Pipeline и прочий «хакинг»

Аватар пользователя Glor Salivan

Ч.1 По поводу сообщения Bloomberg о выплате Colonial Pipeline $5 млн. хакерам биткоинами.

Bloomberg пишет, что выкуп был заплачен оператором трубопровода через несколько часов после «инцидента» 07.05.21г. и после получения средств хакеры сразу же передали Colonial Pipeline ключ для расшифровки данных. Но в своём заявлении после «взлома», пресс-служба Colonial Pipeline сообщила, что выкуп компания решила не платить и по этой причине САМА остановила трубопровод.

Какой в этом смысл, если трубопровод работал и без того, чтобы его останавливать не выплачивая выкуп? Если верить пресс-службе. Опять же, инцидент произошёл в прошлый четверг, а заявление компании-оператора вышло в субботу, через день. С дополнением о ведущихся работах по восстановлению функционирования системы. Которую, всё-таки, вчера, почти через неделю, восстановили.

Кто врёт? Или, пытаясь сохранить «лицо», компания лгала о самостоятельной остановке трубопровода заблокированного хакерами, якобы с целью не поддаваться на шантаж, пытаясь решить проблему самостоятельно или с помощью американских киберспецслужб. Или врёт Bloomberg в своём сообщении о быстрой выплате Colonial Pipeline выкупа хакерам. Или нечто другое?

Допустим, часть выкупа компания-оператор заплатила, или не заплатила, в дело вмешалось Агентство по обеспечению инфраструктурной и кибербезопасности США и со словами «это не наш метод» (в смысле не платить или не платить дальше) взяло «всё на себя» вместе с компаньонами из FBI. В смысле, «мы круты, как рождественские яйца-хакеров найдём, гамбургер из них сделаем, трубопроводную систему восстановим». Получилось как-то не очень, за исключением выпущенных 11.05.21г. CSIA и FBI рекомендаций по кибербезопасности, в которых описывается программа-вымогатель DarkSide и связанные с ней стратегии снижения рисков.

Другой вариант. СР выкуп честно заплатила, но далее что-то пошло не так. Вплоть до вчерашнего дня. Вопрос, что могло пойти «не так» и по каким причинам?

В среду, после очередного восстановления сайта, СР сообщила, что «возобновлена
работа системы МНПП в штатном режиме после почти недели простоя из-за кибератаки». Типа, технологические запасы топлива в трубопроводе были израсходованы и на их пополнение, поскольку без них топливо для потребителей качать по трубе нельзя, нужно время.

На вечер 12.05.21г. обстановка с закрытием АЗС в разных восточных штатах по причине отсутствия на них топлива была такой:

Джорджия – 46%

Алабама – 8%

Теннеси – 19%

Южная Каролина – 48%

Северная Каролина – 69%

Флорида – 16%

Вирджиния – 52%

Мэрилэнд – 15%

Миссисипи – 6%

Западная Вирджиния – 6%

Кентукки – 3%

округ Колумбия(Вашингтон) – 15%

Нью-​Джерси – 1%

Делавэр – 3%

(https://aftershock.news/?q=node/976444)

Ещё больше непонимания. Если СР заплатила выкуп сразу 07.05.21г., получила ключи для расшифровки и запустила систему (ну, пусть на это ушли сутки), как за это короткое время могло быть выкачано из ВСЕЙ системы не только «потребительское» топливо, но и техническое?

При этом, та же Касперская давеча объяснила РИА, что обычно «установить происхождение хакера практически невозможно», если он сам «не захочет оставить о себе какую-​то информацию», напомнив, что WikiLeaks в 2017г. сообщила о подразделении ЦРУ UMBRAGE, которое занимается мимикрией под различные виды мировых хакерских групп, в частности, из России, Северной Кореи, Китая, Ирана. В связи с этим, по ее мнению, нельзя сказать с уверенностью, что атаку на Colonial Pipeline «произвела хакерская группа из России, или это не было спровоцировано ими самими там, или это не было сделано из какой-​то другой страны».

Почему-то, напомнило искусственно созданный дефицит продовольствия в Петрограде зимой 1917г.

Улыбнуло в сообщении «Россия 1»: «Правительство США ищет возможности для аренды перевозки топлива между портами США танкеров принадлежащих другим государствам или с экипажами других государств».

Т.е. «Закон Джонса» существует, и даже работает, но не всегда, и не на территории всех штатов, и не сейчас. НАМ НАДО!!!

Ч.2 ВИШЕНКА НА ТОРТЕ!

Хакерская группировка DarkSide известила о взломе французского отделения Toshiba.

«Ломщики» утверждают, что похитили 740 конфиденциальных данных, включая информацию об управлении, новых предприятиях и личные данные сотрудников. Компания подтвердила, что в ночь на 4 мая подверглась хакерской атаке со стороны DarkSide. В заявлении Toshiba говорится, что был украден лишь минимальный объем рабочих данных.

При этом, по сведениям приведенным на сайте кибергруппы в даркнете, речь идет и о недавних "взломах" итальянской компании Valvitalia, французском вертолетном операторе Heli-Union и крупных американских производителях Irving Materials (стройматериалы) и All American Asphalt. Среди украденной информации адреса корпоративной электронной почты, внутренние документы и личные данные сотрудников, в частности, фотокопии их паспортов.

О суммах назначенной жертвам дани «ломщики» не сообщают. Блюдут конфиденциальность отношений с «клиентами».

Наиболее серьёзные компании занимающиеся киберзащитой делят «хакеров» на несколько специализаций, поскольку видимой частью операций являются именно «операторы»/ «партнёры». Существуют разногласия в иерархии и строении хакерских «пирамид», но в общем и целом система(-ы) выбора ролей в хакерских атаках понятна.

Ролевая система 1:

  1. Разработчики ПО: занимаются обеспечением необходимых условий для атаки и площадки для переговоров с «клиентами». Занимаются или продажей копий своего ПО операторам «операций» или сдачей в аренду по подписке за долю от выкупа
  2. Бот-мастеры: спецы имеющие большие Базы Данных Сети по уже заражённым устройствам от компьютеров до смартфонов, роутеров и т.д. Они могут предложить операторам наилучшее устройство для «входа»
  3. Продавцы доступа: работают уже более прицельно и ищут наиболее уязвимые и «лёгкие» устройства, получают к ним доступ и перепродают/сдают в аренду по подписке свои инструменты/ПО для индивидуального входа четвёртой группе-
  4. -Операторам. Которые и являются видимой «широкой публике» верхушкой хакерского айсберга. Операторы занимаются непосредственно организацией атак: например, выбирают точку входа в организацию и запускают вирусные/вредоносные ПО

При этом, даже внутри какой-либо из этих операционных групп может происходить (чаще и происходит) более узкоспециализированное «разделение труда». Например, конвейерный метод написания ПО у разработчиков (написание различных частей ПО разными шифровальщиками) или отдельные спецы по выводу/перемещению/оплате партнёрам заработанных финансов у операторов и т.д. При этом, «пропесочивание» «жертвенной» базы данных в поисках и выбора наиболее доступного и «жирного» клиента лежит на операторах.

Ролевая система 2:

  1. Операторы: именно они и есть разработчики ПО
  2. Партнёры: эти занимаются поиском и отбором «ломщиков» с нужной для операции специализацией, занимаются организацией атаки, обеспечивают переговорные площадки, ведут переговоры, занимаются выводом денег
  3. «Ломщики»: добывают наиболее удобный, быстрый и гарантированный доступ в сетевой инфраструктуре жертвы
  4. Продавцы доступов: см. п. 3 в системе 1

В данной системе, видимой частью команды выступают «партнёры». Но не важно кого как называют. В общем и целом, групповая «специализация труда» понятна.

Оплата труда в командах, также разная.

«Операторы», «партнёры» и «ломщики» получают по 30% от выплаченного результата, продавцы доступов-по 10%. Доля «партнеров»-операторов может быть увеличена до 50% за счет сокращения доли до 10% «оператора»-разработчика ПО и покупки доступа в сеть за фиксированную цену.

Но и внутри групп есть спецы получающие максимальные ставки за «работу»: пентестеры (тестирующие системы/сети жертв на уязвимости и описывающие «путь продвижения» для выкачивания данных из «жертвенной» БД и закачки в неё вирусного/вымогательского ПО) и создатели криптоалгоритмов, непосредственно шифрующих файлы в компьютерных сетях/системах «дорогих клиентов».

На данный момент, самой дорогой атакой по запрошенному выкупу 2021г. является атака команды REvil объявившей 20.04.21г. о своей успешной атаке на одного из подрядчиков Apple-компанию Quanta Сomputer (Тайвань). Хакеры шантажировали не Quanta Сomputer, а именно Apple возможностью публикации/продажи чертежей не анонсированных устройств корпорации. За неразглашение данных REvil изначально требовали заплатить $50 млн. до 01.05.21г. Но 27.04.21г. вся информация по этой операции была ими удалена.

Получили ли они выкуп, получили ли весь (ходила информация, что группа могла снизить свои запросы до $10 млн.), продали ли чертежи конкурентам, дабы долго не разговаривать, или просто решили «закрасить» информационный фон по сделке- истории пока не известно.

Так что, пацаны из команды DarkSide явно продешевили с запрошенной суммой выкупа от Colonial Pipeline. Учитывая все последствия для Восточного побережья США

 

 

 

 

 

Авторство: 
Авторская работа / переводика

Комментарии

Аватар пользователя Мракоборец
Мракоборец(9 лет 7 месяцев)

искусственно созданный дефицит продовольствия в Петрограде зимой 2017г.

Как-то незамеченным осталось сие событие... 

Аватар пользователя Ёёё
Ёёё(7 лет 3 месяца)

  Может ли хакерский бизнес объединиться/централизоваться в ближайшие 10-15 лет и стать теневым всепланетным правительством? Кто будет официально управлять планетой? Будет ли это похоже на многополярный мир?

Аватар пользователя юрчён
юрчён(12 лет 1 месяц)

Он не объединён, он представляет из себя американские, английские, и другие разведсообщества, которые зарабатывают не только на наркотиках. 

И вообще тупо занимаются всем непотребным и тотально бесконтрольным в этой интернет сфере, и все эти якобы хакерские атаки из этой серии, да  и судя по всему их услугами воспользовались владельцы.

По сути это террористы под прикрытием государства, и абсолютно не подконтрольны ничему вообще,

А что про эту компанию, так владельцам была кровь из носа необходимость поднять цена на бензин. Они решили через эту якобы "хакерскую" атаку. Ой, как это типично для США.

Аватар пользователя Алекс Гор
Алекс Гор(9 лет 5 месяцев)

искусственно созданный дефицит продовольствия в Петрограде зимой 2017г.

Как-​то незамеченным осталось сие событие...///

///А он не путает века и 1917 с 2017 годом? Тогда да, было дело.

Скрытый комментарий Glor Salivan (без обсуждения)
Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

Для Романова, по последствиям, очень замеченным. Да и для России в общем.

Аватар пользователя Чубчик Кучерявый

искусственно созданный дефицит продовольствия в Петрограде зимой 2017г.

Автор оговорился. Правильно будет "зимой 1917г."

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

А-а-а!! -Семен Семеныч! 

Спасибо. Исправлю. :)

Аватар пользователя Rinat Sergeev
Rinat Sergeev(7 лет 11 месяцев)

В этой истории слишком много всего "не так"...

Ну а в целом, Путин давно предлагал создать международную систему борьбы с хакерами. Обама/Трамп/Байден проигнорировали...

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

Вроде Бидон уже обмолвился, что на предполагаемой встрече с ВВП поднимет вопрос об инциденте с СР. Д/дипломатов означает: "мы готовы "перетереть" за кибербезопасность"

Аватар пользователя юрчён
юрчён(12 лет 1 месяц)

Перетереть они конечно могут, только США по определению не способны обуздать свои собственные разведслужбы, которые собственно и есть все эти якобы хакеры шмакеры.

Это уже давно вышло из под контроля для США, и давно представляет опасность для всего мира.

Ну вот, зарабатывают как могут, уверен, владельцы их наняли, всё таки все там свои у них.

Аватар пользователя Rinat Sergeev
Rinat Sergeev(7 лет 11 месяцев)

Поднять тему - может. На что Путин предложит проработать рамки соглашения. В смысле - права и обязанности сторон. И на правах России и обязанностях США Байден стухнет.

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

В общем, скорее-да. Тем более, основной камень преткновения по этой теме-желание сга оформить в межправе разрешение на открытие боевых действий против гос-в обвиненных ими в кибератаках на сша.

Аватар пользователя Kaji_Ryoji
Kaji_Ryoji(7 лет 10 месяцев)

Как доставляют оналитеги, аналлизирующие каких-то мифических хакерофф со всех сторон.

И никто, почему-то , не пытается попробовать версии
а) самострел
б) с ИТ вообще всё было ОК, дело в другом
в) например, в том, что нефть кончилась

Аватар пользователя юрчён
юрчён(12 лет 1 месяц)

Нет, тупо крупным операторам нужно было поднятие цен на бензин, или финанс капут светил по цепочке.

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

1. "Оналитеги" и не напирают на хакеров. В большей степени "их" интересует по какой причине труба заработала только через неделю, хотя должна была через сутки. Если доверять всяким "источникам".

2. Читайте вдумчивей.

3. Вариантов "зачем/почему"- до черта. Но любой из них будет виден через время. Потому, с радостью приму участие в обсуждении различных предположений.

4. "Нефть закончилась" отметается сразу-нет предпосылок. И даже их запаха.

5. "Самострел"- не понятно. За исключением варианта, что пьяный сисадмин наворотил в обветшалой системе такого, что крайне качественно "положил" всю. Исходя из этого встречный вопрос: в каком же она была состоянии, что ее неделю чинили??

6. Искусственное повышение цен. В теории возможно, но на практике, подобным способом, крайне чревато.

Труба стратегическая и даже в сга их нынешнего состояния такой бардак правительству на йух не нужен. Следовательно, можно запросто нарваться на полномасштабное расследование генпрокуратуры(не считая прокуратур штатов) и того же fbi.  А кроме этого на расследование антимонопольного федагентства. Что еще хуже. Потому как, д/того, чтобы downstream подняли и оставили далее рыночно-экстремально взлетевшие цены, "транспортер"(СР), в данном случае, должен одномоментно и надолго поднять цены "не по-деццки". А он монополист на стратегической трубе.

7. Другой вариант. Сговор "киберспецуры" и оператора на вышибание внеочередных лярдов на замену и безопасность киберинфраструктуры, а в еще большей необходимости, безграничных полномочий ради "решения проблем здесь и сейчас" б/уведомления правительства. Что не получилось при Трампе.

Аватар пользователя Kaji_Ryoji
Kaji_Ryoji(7 лет 10 месяцев)

8. начало глобальной тренировки "cyber event 2021" ?

9. тренировка - субурбаны без бензина?

Аватар пользователя Kaji_Ryoji
Kaji_Ryoji(7 лет 10 месяцев)

в продолжение темы (и версии "тренировка") - янки тоже что-то начинают подозревать:
https://www.zerohedge.com/political/think-gas-shortages-are-bad-buckle
>> This is just a taste of our future under President Joe Biden’s energy policies.

Аватар пользователя Luddit
Luddit(6 лет 4 месяца)

А кто сказал, что публике был озвучен истинный размер выкупа, названный "пацанами"?

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

Может и нет, но д/хакеров сумма является показателем "крутизны" операции.

Аватар пользователя nbhdObsrvr
nbhdObsrvr(10 лет 3 недели)

Ха-ха. Появляются новые подробности о решении закрыть трубопровод.

Оказывается хакеры взломали не технологические компы, а бухгалтерские. Компания не смогла выставлять счета потребителям и поэтому сама остановила поставки выключив трубопровод.

https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html 

 

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

И? Им не хватило суток после получения ключа дабы решить бухгалтерские проблемы?

Аватар пользователя nbhdObsrvr
nbhdObsrvr(10 лет 3 недели)

биллинговая система играет центральную роль в беспрепятственной работе трубопровода. Это одна из причин, по которой его восстановление и запуск потребовало времени

Так пишут.

На вопрос о том, было ли отключение вызвано опасениями по поводу оплаты, представитель компании сказал: «В ответ на кибератаку на нашу систему мы активно отключили определенные системы, чтобы сдержать угрозу, что временно остановило все операции трубопроводов и затронуло некоторые из наших ИТ-систем"

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

Э-э-э, как-то не убедительно пишут. Инфу, вроде бы, зашифровали, а не "свистнули". Как зашифровали, так и расшифровали ключом. И?

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

А вот то, что из-за чп могла "лечь" вся обветшалая киберсистема- более похоже на правду. И за неделю, за счет потребителей, попытались установить нечто по новее и надежнее.

Аватар пользователя Aijy01
Aijy01(12 лет 3 месяца)

Охотно готов поверить. Бухучёт - дело трудоёмкое и специфическое (мало кто его понимает, поэтому нормально построенные системы - релкость) , поиск кадров "здесь и сейчас" моментально не возможен. Если биллинг вусмерть автоматизирован, а отчётный период автоматически закрылся и были сгенерированы операции закрытия периода... Вполне допускаю, что откат на бекапы, разгребание вручную кучи счетов и закрытие периода в полу ручном режиме может занять неделю. 

Аватар пользователя Rinat Sergeev
Rinat Sergeev(7 лет 11 месяцев)

Да, наиболее вписывающееся в бизнес-культуру США объяснение.

Ну, и заодно выясняется, что порнуху смотрели не суровые инженеры в касках, а серые дядечки-бухгалтера :)

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

Или тетечки-бухгалтерши

Аватар пользователя feodor89
feodor89(6 лет 10 месяцев)

Заметка интересная, но слегка натянута. Видимо Вы не командовали большой ИС.

1. Американцы конечно другие, но ФБР на таком объекте 100% почти в штате

2. Система управления вряд-ли получится да пострадать, ну или восстановления те часы

3. Если вдруг олени совсем, то сначала закупка оборудования, бэкап, восстановление с хакеров и бэкап. А это много дней

4. Уж больно вовремя

 

 

Аватар пользователя Glor Salivan
Glor Salivan(4 года 11 месяцев)

Вовремя к чему?