W piątek 7 maja doszło do cyberataku typu ransomware na Colonial Pipeline, sieć największego operatora rurociągów paliwowych w Stanach Zjednoczonych. Kto stoi za atakiem i jakie są jego skutki?
Colonial Pipeline to amerykański operator, który dostarcza 45 procent paliw z rafinerii nad Zatoką Meksykańską do wschodnich i południowych amerykańskich stanów. Z powodu ataku cyberprzestępców musiał tymczasowo wstrzymać obsługę sieci rurociągów. W niedzielę operator przekazał, że z powodu ataku główny rurociąg pozostaje nadal nieczynny, natomiast uruchomiono mniejsze linie przesyłowe, a sztab specjalistów pracuje nad przywróceniem pełnej działalności. Na terenie południowych i wschodnich stanów USA ogłoszono stan alarmowy, natomiast kierowcy cystern dostarczających paliwo pracują dłużej. Na wieści o tym cyberataku kontrakty futures w pewnym momencie osiągnęły najwyższy poziom od prawie trzech lat - wzrosły do 2,217 dolarów za galon. Przedłużająca się przerwa w dostawie może doprowadzić do wyczerpania się zapasów i do wzrostu cen paliwa. Colonial Pipeline napisał w oświadczeniu, że "są w trakcie przywracania usług i wkrótce przywrócą w pełni system tylko wtedy, gdy będzie to bezpieczne i zgodne z wszystkimi przepisami federalnymi".
Cyberprzestępcy zastosowali atak typu ransomware, który polega na blokadzie dostępu do danych i żądaniu okupu, jednak nie zostały ujawnione szczegóły zdarzenia ani wysokość okupu. Typowe żądania wahają się w widełkach od 200 000 dolarów do 20 milionów dolarów. Telewizja CNN, agencja Bloomberg i dziennik "The Washington Post" początkowo powołując się na anonimowe źródła twierdzą, że za atakiem stoi rosyjska grupa cyberprzestępcza DarkSide. Według bostońskiej firmy Cybereason - DarkSide to zorganizowana grupa hakerów, która działa zgodnie z modelem "ransomware as a service", czyli zajmuje się opracowaniem narzędzi hakerskich, które następnie są sprzedawane przestępcom przeprowadzającym cyberataki.
DarkSide wydał oświadczenie, w którym stwierdził, że "nie jest to sprawa polityczna i nie chcą zarabiać pieniędzy, powodując problemy w społeczeństwie". Dodali, że "są apolityczni, nie biorą udziału w geopolityce i nie można ich wiązać z określonym rządem lub opcją polityczną". Nieoficjalnie DarkSide ma własny kodeks postępowania etycznego dla klientów, w którym opisują jakie cele ataków są dopuszczalne - na tej liście nie ma m.in. szpitali, uniwersytetów, szkół, organizacji non-profit i agencji rządowych. Ponadto DarkSide zadeklarował, że część swoich zysków przekaże na cele charytatywne. Cybereason twierdzi, że grupa DarkSide postępuje bardzo profesjonalnie oferując punkt pomocy i telefon kontaktowy dla ofiar. Na swojej stronie "DarkSide Leaks" wzorowanej na WikiLeaks, publikują prywatne dane firm, które zostały przez nich zaatakowane.
Obecnie w wyjaśnianie tego cyberataku zaangażowanych jest kilka amerykańskich instytucji federalnych, resort energii i ministerstwo bezpieczeństwa krajowego. To wydarzenie pokazuje, jaka może być skala negatywnych skutków wywołanych cyberatakami, których celem jest istotna infrastruktura. Ten rurociąg jest krytyczną częścią infrastruktury naftowej Stanów Zjednoczonych, za pomocą którego przesyła się dziennie 2,5 miliona baryłek ropy naftowej. Rurociąg obejmuje ponad 5500 mil i transportuje prawie połowę zasobów paliwowych dla Wschodniego Wybrzeża, w tym dla potrzeb lotniska w Atlancie i Baltimore.