Colonial Pipeline: Πώς έγινε η πρωτοφανής κυβερνοεπίθεση

Ερευνητές στις ΗΠΑ καταβάλλουν προσπάθειες για την αποκατάσταση των προβλημάτων που προέκυψαν από μια καταστροφική κυβερνοεπίθεση που έκοψε τη ροή καυσίμου σε αγωγούς της Colonial Pipeline.

Η συγκεκριμένη κυβερνοεπίθεση θεωρείται μια από τις σημαντικότερες εναντίον κρίσιμων υποδομών στην ιστορία, δεδομένου ότι μεταφέρουν περίπου το ήμισυ των προμηθειών καυσίμου της Ανατολικής Ακτής των ΗΠΑ και οι τιμές αναμένεται να αυξηθούν εάν συνεχιστούν τα προβλήματα.

Το BBC παρουσιάζει το «προφίλ» της επίθεσης σε μια σειρά ερωταπαντήσεων:

Πώς μπορεί να χακαριστεί ένας αγωγός;

Το όλο σύστημα είναι εξαιρετικά ψηφιοποιημένο: Αισθητήρες πίεσης, θερμοστάτες, βαλβίδες και αντλίες χρησιμοποιούνται για την παρακολούθηση και τον έλεγχο της ροής του ντίζελ, της βενζίνης και του καυσίμου αεροσκαφών σε εκατοντάδες χιλιόμετρα αγωγών.

Όλα αυτά συνδέονται με ένα κεντρικό σύστημα- και, όπως υπογραμμίζει ο Τζον Νίκολς της CheckPoint, όπου υπάρχει διασύνδεση, υπάρχει κίνδυνος κυβερνοεπίθεσης.

«Όλες οι συσκευές που χρησιμοποιούνται για τη λειτουργία ενός σύγχρονου αγωγού ελέγχονται από υπολογιστές, αντί να ελέγχονται “φυσικά”, από ανθρώπους. Αν συνδέονται στο εσωτερικό δίκτυο ενός οργανισμού και πληγεί από κυβερνοεπίθεση, τότε ο ίδιος ο αγωγός είναι ευάλωτος σε κακόβουλες επιθέσεις».

Πώς μπήκαν οι χάκερ;

Οι απευθείας επιθέσεις σε επιχειρησιακού τύπου τεχνολογίες είναι σπάνιες επειδή τα συστήματά τους είναι συνήθως καλύτερα προστατευμένα. Οπότε θεωρείται πιο πιθανό να αποκτήθηκε πρόσβαση στο σύστημα υπολογιστών της Colonial μέσω του διοικητικού τομέα της επιχείρησης- πχ μέσω ενός email που οδήγησε σε κατέβασμα malware. Επίσης, συχνά χάκερ εκμεταλλεύονται αδυναμίες/ τρωτά σημεία σε λογισμικά «τρίτων».

Πριν εξαπολύσουν την επίθεση με ransomware, μπορεί να βρίσκονταν στο δίκτυο για εβδομάδες, ίσως και μήνες.

Πώς αντιμετωπίζεται μια τέτοια επίθεση;

Ο απλούστερος τρόπος προστασίας τέτοιων τεχνολογιών είναι να παραμένουν offline, χωρίς καμία σύνδεση στο Ίντερνετ. Ωστόσο αυτό είναι πλέον όλο και δυσκολότερο για τις επιχειρήσεις, οι οποίες βασίζονται όλο και πιο πολύ σε διασυνδεδεμένες συσκευές για τη βελτίωση της αποδοτικότητας.

«Παραδοσιακά, οι οργανισμοί έκαναν κάτι που ήταν γνωστό ως “air gapping”» είπε ο Κέβιν Μπομόντ, ειδικός σε θέματα κυβερνοασφαλείας. «Διασφάλιζαν πως τα κρίσιμα συστήματα λειτουργούσαν σε ξεχωριστά δίκτυα που δεν συνδέονταν με ΙΤ που συνδεόταν με το εξωτερικό. Ωστόσο η φύση του μεταβαλλόμενου κόσμου σημαίνει ότι περισσότερα πράγματα εξαρτώνται από τη συνδεσιμότητα».

Ποιοι είναι οι χάκερ;

Το FBI επιβεβαίωσε πως πίσω από την επίθεση είναι η DarkSide, μια σχετικά νέα μα δραστήρια ομάδα ransomware που θεωρείται ότι εδρεύει στη Ρωσία. Αξίζει να σημειωθεί πως η ομάδα ανέβασε στη σελίδα της στο darknet κάτι σαν «συγγνώμη».

Αν και δεν αναφέρθηκαν απευθείας στην Colonial, έκανα λόγο για «σημερινά νέα», λέγοντας ότι «σκοπός μας είναι να βγάλουμε χρήματα, όχι να δημιουργούμε προβλήματα για την κοινωνία. Από σήμερα θα κάνουμε moderation και θα ελέγχουμε κάθε εταιρεία που οι εταίροι μας θέλουν να κρυπτογραφηθεί για να αποφεύγουμε κοινωνικές συνέπειες στο μέλλον».

Όπως πολλές ομάδες ransomware, η DarkSide έχει ένα πρόγραμμα που επιτρέπει σε «εταίρους» να χρησιμοποιούν το malware της για να πλήττουν στόχους, με αντάλλαγμα ποσοστό επί των κερδών από τα «λύτρα». Επίσης, η DarkSide έχει ισχυριστεί πως θα αρχίσει να κάνει δωρεές σε φιλανθρωπικές οργανώσεις.

Πώς μπορούν να προστατευτούν οι κρίσιμες υπηρεσίες;

Τον περασμένο μήνα η Ransomware Task Force, μια διεθνής συμμαχία ειδικών, έκανε λόγο για «κίνδυνο εθνικής ασφάλειας» και τόνισε ότι οι κυβερνήσεις πρέπει να αναλάβουν δράση για να εμποδίσουν τις πληρωμές λύτρων εν κρυπτώ.

Επίσης, ζήτησε άσκηση πιέσεων σε χώρες όπως η Ρωσία, το Ιράν και η Βόρεια Κορέα, που κατηγορούνται τακτικά πως «στεγάζουν» ομάδες ransomware. Ωστόσο ειδικοί τονίζουν πως και οι ίδιοι οι οργανισμοί που αποτελούν στόχους πρέπει να αναλάβουν ευθύνες και να εφαρμόσουν μέτρα κυβερνοασφάλειας.



Πηγή