Согласно сообщениям газеты Washington Post, 10 мая нынешнего года Федеральное бюро расследований (ФБР) США заявило, что «виновные в атаке вирусов-вымогателей на топливный трубопровод Colonial Pipeline, осуществленной 7 мая, имеют отношение к России. Это установленная хакерская группа DarkSide которая осуществила кибератаку на Colonial Pipeline с помощью вредоносного кода, в результате чего были отключены основные операционные системы трубопровода. Это самая масштабная кибератака на критические инфраструктурные объекты США». Топливный трубопровод Colonial Pipeline поставляет широкую гамму нефтепродуктов, таких как бензин, дизельное топливо, авиационное топливо и мазут для 45% потребителей восточного побережья Соединенных Штатов, в том числе и для американских вооруженных сил
Нынешняя кибератака называется атакой RansomeWare, и в ней с используются «вирусы-вымогатели». Это тот метод, в котором преуспели хакерские группы Северной Кореи. Программа-вымогатель — это название, созданное путем объединения слов «Выкуп» (Ransom) и «Программное обеспечение» (Ware), и представляет собой разновидность компьютерного вируса, запускаемого на цель для получения денег. Вирус произвольно шифрует данные, хранящиеся на зараженном компьютере, делая их непригодными для использования владельцем. Затем владельца шантажируют, показывая на экране персонального компьютера объявление с требованием выкупа за снятие помех.
На начальном этапе атаки типа RansomeWare представляли компьютерные нападения на обычных пользователей и сопровождались требованиями относительно небольших выкупов. В то время многие пользователи платили по требованию за восстановление своих зашифрованных и непригодных для использования программ. Это еще не был денежный кибертерроризм. Примерно с 2015 года целями атак стали крупные компании, которым начали предъявляться требования на крупные выкупы, а в 2017 году с помощью разновидности «программы-вымогателя» под названием WannaCry были атакованы многие частные компании и даже государственные учреждения, так что это уже стало большой угрозой для США.
Что такое хакерская группа DarkSide?
DarkSide известна как относительно новая хакерская группа, которая с августа 2020 года взламывает сети американских и европейский компаний, используя атаки вредоносных вирусов-вымогателей. DarkSide разрабатывает передовые вредоносные программы и инновационные методы атак, а также проводит крупномасштабные кибератаки на глобальные организации и правительства, включая нарушения данных, кражу информации, создание препятствий на выборах и многие другие злонамеренные инциденты. DarkSide находится под сильным влиянием «русского национализма», и российское правительство, используя киберпреступления, организуемые этой хакерской группой, проводит кибератаки на Соединенные Штаты, Европу и т.д. (Поговаривают о том, что в этом также участвует разведывательная служба России СВР).
Атаки DarkSide с помощью вирусов-вымогателей не только произвольно шифруют и блокируют данные пользователя, но и осуществляет в отношении своей цели «двойную угрозу», угрожая раскрыть ее чувствительную конфиденциальную информация в том случае, если выкуп не будет уплачен. Другими словами, на момент кибератаки конфиденциальная информация компании-жертвы уже, как правило, оказывается украденной, и в случае отказа в выплате выкупа существует угроза публикации данных компании на специально создающихся для этого сайтах. DarkSide ранее обычно требовала выкупы в размере от 200 000 до 2 миллионов долларов, но в случае с топливопроводом Colonial Pipeline она потребовала огромный выкуп в размере 5 миллионов долларов.
Обобщая информацию фирмы Kaspersky, занимающейся кибербезопасностью, и других таких компаний, можно отметить то обстоятельство, что DarkSide избегает атак на сайты, написанные на русском, украинском, грузинском и белорусском языках. DarkSide использует профессиональный веб-сайт, и описывает себя в пресс-релизах как «бизнес-предприятие». По ее утверждениям, ее деятельность не нацелена на больницы, хосписы, школы, университеты, некоммерческие организации или государственный сектор. Группа также заявляет о том, что пожертвовала часть своих преступных доходов на благотворительность и пытается создать о себе у публики представление как о некоем «Робин Гуде».
Кроме того, эксперты указывают, что RansomWare, используемый группой DarkSide, похож на «вымогательское» программное обеспечение, используемое другой хакерской группой «REvil», а почерк действий DarkSide, очень близок к почерку REvil. Кстати, 11 мая 2020 года группа REvil провела хакерскую атаку на крупнейшую юридическую фирму в сфере развлечений Grabman Shah Mesirus & Sax, в ходе которой похитила сведения о контрактах, конфиденциальных соглашениях, номерах телефонов и адресах электронной почты, тексты протоколов судебных заседаний и личные сообщения сотрудников.
Борьба с российскими хакерскими группами вокруг Олимпиады в Токио
В 2020 году российские кибератаки характеризовались особой активностью, и, как сообщается, в них начали участвовать российские спецслужбы ФСБ (Федеральная служба безопасности), СВР (Служба внешней разведки России) и ГРУ (Главное разведывательное управление российского Генерального штаба). (Теперь — Главное Управление — прим.ред.). Хакерские группы APT28 и APT29 начали кибератаки на больницы, фармацевтические компании, фармацевтические лаборатории и т.д. с целью кражи информации об антиковидных вакцинах.
Более того, DarkSide, атаковавшая топливопровод Colonial Pipeline в США, 14 мая нынешнего года объявила о том, что похитила данные французского отделения японской корпорации Toshiba. Как сообщила компания Mitsui Bussan Secure Directions, Inc., хакерская группа DarkSide обнародовала в анонимном даркнете заявление, согласно которому она похитила 740 гигабайт секретной информации и персональных данных французского отделения японской корпорации Toshiba. Toshiba в свою очередь заявила, что изучает этот вопрос. Этот инцидент показывает, что DarkSide нацелена не только на Соединенные Штаты и Европу, но и на Японию (оценка Kyodo News).
И DarkSide — не единственная хакерская группа, которая проводит кибератаки на Японию. В октябре прошлого года (2020) британское правительство объявило, что «ГРУ России провело кибератаку на людей и организации, планирующие принять участие в Олимпийских и Паралимпийских играх в Токио», и что «в феврале 2018 года ГРУ осуществляло кибератаку на зимние Олимпийские игры в Пхенчхане в Южной Корее». Кроме того, министерство юстиции США объявило, что оно «предъявило уголовные обвинения шести офицерам разведки ГРУ в связи с кибератаками на Олимпиаду в Пхенчхане и другими событиями». Судя по всему, за этими действиями ГРУ стоит месть за то, что команды России не были допущены на Олимпийские игры в Пхенчхане и Токио из-за системных проблем с допингом.
Можно предположить, что Токийская Олимпиада станет объектом жестоких кибератак
В Японии мы уже начали подготовку «белых хакеров» и создание правительственных хакерских организаций. Однако, если проанализировать тенденции в последних кибератаках, то можно легко увидеть, что их цели не ограничиваются только организациями и компаниями, связанными с подготовкой и проведением Олимпийских игр в Токио, но распространяются уже и на важнейшие объекты и системы инфраструктуры, такие, как электро- и газоснабжение, водоснабжение и канализация, а также транспорт. Чтобы противостоять таким кибератакам, развитые страны, такие как Япония, США и Великобритания, должны объединиться и принять решительные меры в сотрудничестве с государственными и частными специализированными организациями, работающими в области киберзащиты.
Масатоси Фудзитани — окончил юридический факультет престижного университета «Гакусюин», долгое время работал в Управлении общественной безопасности министерства юстиции, затем в полиции общественной безопасности. Закончил карьеру генералом полиции, начальником управления общественной безопасности крупной морской префектуры Исикава. В настоящее время руководитель японского «мозгового центра» Форум стратегических исследований Японии (JFSS).