Зашифрованные отношения: как атака на трубопровод Colonial Pipeline может помочь России и США наладить диалог
Компания Colonial Pipeline, оператор одноименной трубопроводной системы, 7 мая обнаружила, что стала жертвой атаки вируса-шифровальщика. Зараженной оказалась корпоративная сеть, не связанная непосредственно с производственным процессом. Тем не менее в компании решили на всякий случай приостановить работу трубопровода, чтобы сдержать распространение шифровальщика. Поставки топлива возобновилась только спустя пять дней.
Идущий из Техаса в Нью-Йорк трубопровод доставляет на восточное побережье США примерно 45% потребляемого там топлива, и его остановка спровоцировала нехватку бензина и рост цен на него на юге и востоке страны — по состоянию на утро 13 мая топлива не было на 17 000 заправок. Власти штатов Вирджиния, Джорджия, Северная Каролина, Флорида объявили чрезвычайное положение. Ситуация оказалась в центре внимания Белого дома, который подключил к реагированию федеральное правительство.
Этот инцидент иллюстрирует, насколько уязвимыми могут быть объекты критической инфраструктуры не только перед целенаправленными деструктивными атаками, но и перед действиями, мотивированными исключительно корыстными интересами. Бизнес-модель злоумышленников, использующих шифровальщики, в целом выглядит следующим образом: с помощью специального программного обеспечения они зашифровывают данные жертвы и требуют выкуп в обмен на ключ для расшифровки. Дополнительно они могут угрожать сливом похищенных данных.
Однако даже если злоумышленники не преследуют цель нарушить работу объекта критической инфраструктуры, это может стать косвенным результатом. В случае Colonial Pipeline решение о приостановке трубопровода было принято самой компанией. Оно, в свою очередь, вызвало панику у потребителей и привело к нехватке бензина.
Именно опосредованные эффекты кибератаки стали одной из причин, почему эта проблема оказалась на повестке дня американской администрации. В последнее время и США, и другие страны мира все чаще сталкиваются с этим вызовом. Kaspersky отмечает, что в 2019-2020 годах количество целевых атак с использованием шифровальщиков против их клиентов увеличилось на 767%. В США в 2018-2020 годах органы власти разных уровней подвергались атакам шифровальщиков 246 раз. В 2020 году серии атак подверглись американские госпитали.
Для злоумышленников это по-прежнему остается прибыльным делом: по данным Bloomberg, после атаки Colonial Pipeline заплатила злоумышленникам в качестве выкупа около $5 млн в биткоинах.
Бенефициары взлома: кто выиграет от кибератаки на трубопровод Colonial Pipeline
На темной стороне
Другая причина внимания Белого дома к инциденту лежит в политическом поле. Джо Байден обозначил вопросы кибербезопасности в качестве одного из ключевых приоритетов своего президентства. За время правления Дональда Трампа в Вашингтоне сложился консенсус относительно того, что Америка недостаточно решительно борется с угрозами в киберпространстве. Новая администрация демонстрирует готовность исправить это положение с помощью назначения ответственных за проблему чиновников, новых законодательных инициатив, дипломатических шагов или введения санкций. В этом контексте кибератака на Colonial Pipeline, как и другие заметные инциденты первых месяцев президентства Байдена, рассматриваются как возможность воплотить на практике новый подход.
Показательным является то, насколько быстро США публично назвали виновных. Уже через три дня, 10 мая, ФБР заявило, что ответственным за кибератаку является группа Darkside. Как правило, американские спецслужбы называют конкретные группы или страны, причастные к тому или иному инциденту, спустя несколько недель или месяцев после события. Скорость атрибуции призвана в том числе показать внутренней и внешней аудитории готовность профильных ведомств США к борьбе с киберугрозами.
Группа Darkside создана сравнительно недавно и известна специалистам по информационной безопасности с августа 2020 года. Она работает по модели «шифровальщик как услуга» (ransomware-as-a-service): разработчики вредоносной программы не заражают ею жертв самостоятельно, а сдают в аренду партнерам в обмен на часть выручки.
В Darkside предположительно участвуют злоумышленники из России или стран Восточной Европы. На это указывают такие факты, как первое упоминание группы на русскоязычном хакерском форуме, связи с другими группами из этого региона, характерные особенности использования английского языка. В 2020 году специалисты отмечали, что шифровальщик Darkside перед заражением проверяет, есть ли на машине-жертве раскладки клавиатуры на русском и других языках, распространенных на постсоветском пространстве, и при их наличии не шифрует этот компьютер. Таким образом, хакеры соблюдают негласное правило «не работать по РУ», то есть не совершать преступлений против российских организаций. Впрочем, компания FireEye, нанятая Colonial Pipeline для расследования инцидента, в своем отчете сообщает, что появившаяся в мае 2021 года версия шифровальщика не проверяет язык раскладки перед заражением.
Несмотря на мрачное название, Darkside позиционирует себя как Робин Гуда. На своем сайте в даркнете группа заявляет, что будет атаковать только «богатых» (компании, которые могут себе позволить оплатить выкуп), и перечисляет виды организаций, которые не будут подвергаться атакам шифровальщика (медицинские, похоронные, образовательные, неправительственные, государственные). В октябре 2020 года Darkside сообщала о якобы переведенных пожертвованиях благотворительным организациям. 10 мая на фоне ситуации вокруг Colonial Pipeline в очередном пресс-релизе группа заявила, что не интересуется политикой, и пообещала впредь проверять, кого хотят атаковать ее партнёры, чтобы избежать негативных последствий для общества. Эти и другие заявления Darkside невозможно проверить, но их можно рассматривать как часть PR-кампании группы, что свидетельствует о профессионализации создателей шифровальщиков.
Американские официальные лица отмечают, что злоумышленники могут находиться в России. Однако в отличие от других кибератак, в которых обвиняют Москву, в данном случае не выдвигаются претензии к российским спецслужбам. Наоборот, такие чиновники, как заместитель советника президента по национальной безопасности по кибервопросам Энн Нойбергер, глава Министерства энергетики Дженнифер Грэнхолм и сам Джо Байден отмечают, что США не видят связи между группой Darkside и российским правительством.
«Разобраться с этим»: Байден предложит Путину найти инициаторов кибератаки на нефтепровод
Повестка для саммита
Президент США считает, что, несмотря на непричастность российских властей к кибератаке, на России может лежать определенная ответственность в том случае, если злоумышленники находятся на ее территории. Это сигнал о том, что американская сторона может вынести проблему шифровальщиков на предстоящий российско-американский саммит. На брифинге 13 мая Байден заявил: «Мы напрямую общаемся с Москвой по поводу необходимости принятия ответственными странами решительных мер против этих сетей шифровальщиков». И позднее добавил, что принятие неких международных стандартов в этой связи может быть одной из тем для разговора с Владимиром Путиным.
Ничего удивительного в этом нет. У России и США есть опыт взаимодействия в сфере информационной безопасности: в 2013 году президенты Путин и Обама подписали пакет двусторонних соглашений о мерах доверия в связи с использованием информационно-коммуникационных технологий, первый прецедент такого рода в мировой практике. Двусторонние консультации прервались после избрания Трампа и, несмотря на регулярные призывы со стороны России, до сих пор не возобновились. В конце апреля спецпредставитель президента по вопросам международного сотрудничества в области информационной безопасности Андрей Крутских предположил, что информационная безопасность войдет в число тем для переговоров на высшем уровне. Российские предложения США в этой области обобщены в прошлогоднем заявлении Путина, и диалог по проблеме шифровальщиков мог бы вписаться в их логику.
Наконец, в многостороннем формате (под эгидой группы правительственных экспертов ООН) Россия и США еще в 2015 году приняли ряд добровольных правил поведения для киберпространства. Они в том числе предполагают, что страна не должна заведомо позволять использовать свою территорию для совершения кибератак против другой страны. Как соблюдать эти правила, стороны не договорились, так что это вопрос для более предметного взаимодействия России и США.
С обеих сторон нет слишком амбициозных ожиданий от саммита, но и российские, и американские представители заявляли о готовности сотрудничать там, где это отвечает их интересам. Таким пересечением может быть сфера информационной безопасности, особенно если переговорщикам удастся выделить наименее политизированные вопросы. Это не поменяет траекторию двусторонних отношений, но может предотвратить хотя бы часть новых кибератак.
Мнение редакции может не совпадать с точкой зрения автора