Остановленная 7 мая из-за атаки хакерской группы DarkSide одна из крупнейших в США систем нефтепродуктопроводов Colonial Pipeline так и не восстановила работу. В 19 штатах объявлен режим чрезвычайной ситуации. Стоимость нефти отреагировала коротким взлетом, вернувшись вечером 10 мая к уровню до остановки. Но эксперты называют происходящее крупнейшей в истории кибератакой на энергетическую инфраструктуру, которая может повлиять и на мировой рынок нефти, и на политику всей отрасли в области безопасности. Причем, хотя многие видят в DarkSide «восточноевропейский» или даже «российский» след, Вашингтон пока занял нейтральную позицию, не обвиняя Москву.
О временном прекращении работы американской системы трубопроводов Colonial Pipeline протяженностью почти 9 тыс. км стало известно поздно вечером 7 мая по американскому времени. Из сообщения Colonial Pipeline Company следует, что кибератаке подверглись административные компьютеры. Руководство компании само решило остановить прокачку и обратилось к одной из компаний, специализирующихся на кибербезопасности.
Совместный план действий по урегулированию ситуации вырабатывали Министерство энергетики США, ФБР и Министерство внутренней безопасности страны. Президент Джо Байден получил первую сводку 8 мая. В 19 штатах объявлен режим чрезвычайной ситуации: водителям грузовиков позволено работать сверхурочно, чтобы минимизировать потери от остановки прокачки.
«Мы восстановим работу всех систем, когда будем уверены в безопасности это шага и когда это будет возможно сделать в соответствии с федеральными правилами»,— заявили в Colonial Pipeline. К 9 мая прокачку нефтепродуктов по некоторым малым трубам между терминалами и пунктами назначения возобновили, но основная линия еще не работает.
Удар по яремной вене
«Это яремная вена всей трубопроводной системы США. Атака стала самой масштабной успешной из всех известных нам нападений на энергетическую инфраструктуру»,— заявила Politico автор книги Energy's Digital Future Эми Майерс Джефф. По ее словам, стране повезет, если у кибератаки не будет последствий, однако это вне сомнения «тревожный звонок» для всего энергетического сектора.
Colonial Pipeline — система нефтепродуктопроводов, снабжающая бензином, дизтопливом, печным топливом и авиакеросином восточное побережье США. Через нее прокачивается 45% всего топлива для региона (20% потребляемого по всей стране).
По данным Reuters, стоимость нефти марки Brent и WTI на торгах 10 мая, первых после атаки, подскакивала на 1,3%, но к концу дня вернулась на уровень закрытия рынков 7 мая. Если транспортировка не будет оперативно возобновлена, то, по оценке Bloomberg, это может привести к рекордному за последние семь лет росту цен на топливо в США.
На 7 мая стоимость бензина в США составляла $0,78 за литр, но с началом летнего сезона может вырасти до более $0,8 за литр. По данным агентства, рыночные игроки рассматривают вариант транспортировки топлива автотранспортом или танкерами в Мексиканском заливе, а также прокачки через трубопровод Plantation Pipeline (управляется Kinder Morgan), мощность которого почти в пять раз ниже, чем у Colonial Pipeline.
Мария Белова из Vygon Consulting отмечает, что сопоставимых по мощности трубопроводных систем в данном регионе нет, а в стране уже начался высокий автомобильный сезон, означающий дополнительный спрос на топливо. Дальнейшая динамика цен на нефть будет определяться развитием ситуации вокруг компании-оператора, полагает эксперт:
Если ей удастся быстро вернуть мощности в работу, цены вернутся на уровень прошлой недели. Если же в столичном регионе возникнет дефицит топлива, рост цен продолжится».
По словам госпожи Беловой, по мере ускорения темпов цифровизации ТЭК учащаются и случаи отраслевых кибератак, причем по всей цепочке — от добычи до сбыта. Первые инциденты зафиксированы еще в 1990-е годы. Так, например, в 1999 году из-за неисправности системы SCADA и клапана сброса давления произошел взрыв на бензопроводе Olympic Pipeline в штате Вашингтон, США. В 2008 году были взломаны серверы трубопровода Баку—Тбилиси—Джейхан. Атака вызвала временное нарушение работы передачи трубопроводов из-за избыточного давления. В 2012 году атаке хакеров подверглась национальная нефтедобывающая компания Саудовской Аравии: они стремились нарушить поставки нефти и газа на местный и международные рынки. Своей цели кибервзломщики не добились, однако им удалось нанести вред примерно 30 тыс. компьютеров. Таких примеров уже достаточно много.
Но до сих пор в мире нет системного подхода к каталогизации, картографированию и классификации атак кибербезопасности в отрасли, отмечает Мария Белова, поэтому сложно оценить общее число атак. По мнению экспертов Symantec (известный разработчик программного обеспечения в области информационной безопасности и защиты информации), в 2016 году действовало более 150 киберкриминальных групп, нацеленных на энергетическую отрасль, против 87 в 2015 году. По данным Positive Technologies, в 2019 году в России кибератаки в отношении российских компаний проводили 22 группировки, девять из которых атаковали организации ТЭК.
В любом случае атака на Colonial Pipeline — самое масштабное из известных на сегодня киберпреступлений в сфере ТЭК, говорит Мария Белова.
Очевидно, что оно будет иметь серьезные последствия как со знаком плюс, так и со знаком минус. Скорее всего, в отрасли осознают уязвимость, что приведет к выделению больших бюджетов для обеспечения кибербезопасности ТЭК по всему миру. Негативным же моментом, отмечает госпожа Белова, выглядит риск очередного «русского следа» в этих атаках, то есть повода для новых санкций.
«Не нужно искать мотивы»
Компьютеры Colonial Pipeline Company были поражены вирусом-вымогателем, который требовал перевести определенную сумму на счет разработчиков вируса для восстановления работы устройств. Как сообщили ряду американских СМИ — в частности, CNN и The Washington Post — источники в президентской администрации, за атакой, вероятнее всего, стоит «восточноевропейская» (в интерпретации The Washington Post) или «российская» (в интерпретации CNN) группировка DarkSide.
Она якобы стояла и за атаками на бразильские государственные энергетические компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel), произошедшими в феврале 2021 года. Eletrobras тогда сообщила, что пострадали ее корпоративные компьютеры в филиале, ответственном за работу АЭС Angra 1 и Angra 2, но изолированные от внешних сетей устройства управления атомными станциями затронуты не были.
Как и в случае с Colonial Pipeline, атаки на административные компьютеры хватило, чтобы вынудить компанию отключить часть производственных мощностей.
DarkSide, в частности, предоставляет заказчикам вирусы-вымогатели «под ключ». По данным специализирующейся на кибербезопасности Cybereason, DarkSide требует от покупателей согласиться на своего рода договор: не применять полученные вирусы против больниц, хосписов, школ, моргов, крематориев, похоронных бюро, университетов, некоммерческих организаций, органов власти, а также компаний, которые производят и распространяют вакцины от COVID-19. Под защитой также якобы компании на территории бывшего СССР.
Хакеры позиционируют себя как профессиональная корпорация: у них есть службы поддержки и для пользователей, и для жертв их вирусов, с каждой из которых обычно требуют от $200 тыс. до $20 млн в криптовалюте. Работают они по двум направлениям: во-первых, их вирусы, как обычно вирусы-вымогатели, кодируют информацию жертв и требуют оплаты, угрожая оставить все данные в зашифрованном (то есть бесполезном) виде. Во-вторых (здесь уже проявляется оригинальность группы), информация отказавшихся от сотрудничества компаний размещается на сайте DarkSide Leaks, где ее может купить любой желающий.
Известно и о пиар-активности группы: в частности, в октябре 2020 года она отчиталась о пожертвовании 0,88 BitCoin двум благотворительным организациям: The Water Project и Children International. На момент перевода перечисленная каждой компании сумма криптовалюты составляла $10 тыс., по данным на начало мая 2021 года — по $50,8 тыс.
После взлома Colonial Pipeline Company 10 мая на сайте DarkSide в даркнете появилось сообщение:
Мы аполитичны, мы не участвуем в геополитике, не нужно пытаться привязать нас к конкретному правительству и искать мотивы. Наша цель — делать деньги, а не создавать проблемы обществу. С сегодняшнего дня мы вводим модерацию и проверяем каждую компанию, которую наши клиенты захотят зашифровать (атаковать.— “Ъ”), чтобы избежать общественных последствий в будущем».
“Ъ” обратился к группировке за комментарием, но на момент публикации номера ответа не получил.
Власти США неоднократно обвиняли российские спецслужбы в кибератаках в отношении своей информационной инфраструктуры. За якобы осуществленное Россией при помощи кибертехнологий вмешательство в американские президентские выборы 2016 года и взлом программного обеспечения компании SolarWinds в 2020 году в отношении Москвы Вашингтоном были введены санкции.
Однако в текущей ситуации вокруг Colonial Pipeline Белый дом пока занял осторожно-нейтральную позицию. Несмотря на многочисленные спекуляции, прозвучавшие в последние дни относительно «российского следа» в атаке, вечером 10 мая заместитель помощника президента США по национальной безопасности Энн Нюбергер сообщила, что кибератаку «совершили уголовные элементы в лице группы хакеров, именующей себя DarkSide, а не какое-то государство». «Тем не менее,— уточнила госпожа Нюбергер,— наше разведывательное сообщество, конечно, ищет любые связи с какими бы то ни было государствами. Если у нас появится такая дополнительная информация, то мы ее изучим глубже».