Az amerikai kormány vasárnap vészhelyzetet hirdetett, miután a legnagyobb olajvezetékük napok óta áll zsarolóvírusos kibertámadás miatt.
A Colonial Pipeline napi 2,5 millió hordót szállít – a keleti part gázolaj-, benzin- és repülőgép-üzemanyag-ellátásának 45 százalékát. Pénteken
egy hackerbanda teljesen kikapcsolta a rendszert,
és a szolgáltatás helyreállítása jelenleg is folyik.
Az amerikai üzemanyagárak hétfőn a szivattyúknál nagyrészt változatlanok maradtak, de szakértők szerint ez megváltozhat, ha a leállás elhúzódik. Gaurav Sharma független olajpiaci elemző szerint rengeteg üzemanyag rekedt a texasi finomítókban.
Az emiatt kihirdetett vészhelyzeti státusz enyhíti a közúti üzemanyag-szállításra vonatkozó szabályokat. Ez konkrétan azt jelenti, hogy az Egyesült Államok 18 államában a járművezetők extra vagy rugalmasabb munkaidőben dolgozhatnak, amikor finomított kőolajtermékeket szállítanak.
Ha keddig nem oldják meg a problémát, akkor nagy bajban vannak. Az első érintett területek Atlanta és Tennessee lennének, aztán a dominóhatás egészen New Yorkig tartana.
Elmondta, hogy a határidős olajkereskedők most kapkodnak, hogy kielégítsék az igényeket, miközben az amerikai készletek csökkennek, és a kereslet – különösen az autók üzemanyaga iránt – növekszik, ahogy a fogyasztók visszatérnek az utakra és a gazdaság talpra áll.
A közlekedési minisztérium által kiadott ideiglenes mentesség lehetővé teszi, hogy a kőolajtermékeket tartálykocsikkal szállítsák New Yorkig, de ez közel sem lenne elegendő a csővezeték kapacitásának kielégítésére
– figyelmeztetett Sharma.
Több forrás is megerősítette, hogy a zsarolóvírus-támadást a „SötétOldal” (DarkSide) nevű kiberbűnöző banda okozta, melynek tagjai csütörtökön behatoltak a Colonial hálózatába, és közel 100 gigabájtnyi adatot ejtett túszul a szokásos zsarolóvírusos módszerrel.
Az adatok lefoglalása után a hackerek pénteken váltságdíjat követelve zárolták az adatokat egyes számítógépeken és szervereken. Ha nem fizetik ki, azzal fenyegetőznek, hogy kiszivárogtatják azokat az interneten.
A Colonial közölte, hogy együttműködik a bűnüldöző szervekkel, kiberbiztonsági szakértőkkel és az Energiaügyi Minisztériummal a szolgáltatás helyreállításán. Vasárnap a cég azt is megosztotta, hogy bár négy fővonala továbbra sem működik, néhány kisebb mellékvonal a terminálok és a szállítási pontok között már üzemképes.
A Colonial, ahogy tudomást szerzett a támadásról, gyorsan lekapcsolt bizonyos rendszereket, hogy megfékezze a fenyegetést. Ezek az intézkedések átmenetileg leállították a csővezeték működését, és hatással voltak néhány informatikai rendszerünkre, amelyek helyreállítása jelenleg is aktívan folyik.
– közölte a cég egy hivatalos közleményben.
Hozzátették, hogy a teljes informatikai rendszert csak akkor állítják helyre, amikor ezt biztonságosnak ítélik, és a működés újra teljes mértékben megfelel az összes szövetségi szabályozásnak.
Az incidens rávilágít arra, hogy a zsarolóvírusok egyre nagyobb veszélyt jelentenek a kritikus nemzeti ipari infrastruktúrára,
nem csak a vállalkozásokra.
Emellett egy olyan, több tízmillió dollár értékű informatikai bűnszervezet-ökoszisztéma kialakulását is jelzi, amely semmihez sem fogható, amit a kiberbiztonsági iparág valaha is látott.
A DarkSide-támadás áldozatai a számítógépük képernyőjén megjelenő értesítés mellett egy információs csomagot is kaptak, amelyben tájékoztatják őket arról, hogy számítógépeik és szervereik titkosítva vannak.
A banda felsorolta az ellopott adatok összes típusát, és elküldte az áldozatoknak egy kiszivárogtató oldal URL-címét, ahol az adatok már betöltődtek, és csak „arra várnak”, hogy automatikusan közzétegyék azokat, ha a vállalat nem fizet a határidő lejárta előtt. A DarkSide emellett azt is közölte az áldozatokkal, hogy bizonyítékokkal is tud szolgálni a megszerzett adatokról, és kész törölni az összes adatot a Colonial hálózatáról.
A Digital Shadows, egy londoni székhelyű kiberbiztonsági cég szerint a DarkSide úgy működik, mint egy vállalkozás.
A banda fejleszti az adatok titkosítására és ellopására használt szoftvert, majd „társvállalatokat” képez ki, amelyek tagjai a szoftvert tartalmazó eszköztárat, egy váltságdíjfizetést követelő e-mail-mintát és a támadások végrehajtására vonatkozó képzést kapnak. A partnercég ezután a DarkSide-nak fizeti ki a sikeres zsarolóvírus-támadásokból származó bevételük egy százalékát.
Amikor a szervezet márciusban egy új szoftvert adott ki, amely a korábbinál gyorsabban képes titkosítani az adatokat,
a banda még egy sajtóközleményt is közzétett, sőt, még újságírókat is meghívott egy interjúra.
Továbbá, a bűnszervezetnek még egy weboldala is van a dark weben, ahol felsorolják az összes feltört vállalatot és az ellopott adatokat, valamint van egy etikai oldaluk is, ahol azokat is szervezeteket közzé teszik, amelyeket elvből nem támadnak meg.
A Digital Shadows kiberbiztonsági cég szerint a Colonial támadás a világjárvány miatt átalakuló munkavégzés következhetett be, ugyanis több mérnök távolról, otthonról is hozzáfér a csővezeték vezérlőrendszeréhez.
James Chappell, a Digital Shadows társalapítója úgy véli, hogy a DarkSide megvásárolta az olyan távoli asztali szoftverekkel kapcsolatos fiókok bejelentkezési adatait, mint a TeamViewer és a Microsoft Remote Desktop.
Mostanában egyre több áldozattal találkozunk, ez most tényleg hatalmas probléma. Egyre nő a kisvállalkozások száma, amelyek áldozatául esnek a hasonló akcióknak – ez pedig globálisan is nagy problémává válik a világgazdaság számára
– állítja Chappell.
A Digital Shadows kutatása szerint a kiberbűnöző banda valószínűleg egy orosz anyanyelvű országban operálhat, mivel feltűnően kerüli a posztszovjet államokban működő vállalatok megtámadását.
(Borítókép: A Colonial Pipelin olajvállalat tartályai. Fotó: Luke Sharrett / Bloomberg / Getty Images)
(BBC)