• Wed. Aug 10th, 2022

PDF2DOCXFREE

Enkelt kan vara svårare än komplext

FBI bekräftar DarkSide som Colonial Pipeline Hacker

Byadmin

May 11, 2021

President Biden sa på måndagen att USA skulle “störa och åtala” ett kriminellt gäng hackare som heter DarkSide, vilket FBI formellt skyllde för en enorm ransomware attack som har stört flödet av nästan hälften av bensin- och flygbränsletillförseln till östkusten.

FBI, uppenbarligen bekymrad över att ransomware-ansträngningen skulle kunna spridas, utfärdade en nödlarm till elföretag, gasleverantörer och andra rörledningsoperatörer för att vara på utkik efter kod som den typ som låste upp Colonial Pipelines, ett privat företag som kontrollerar den stora rörledningen transporterar bensin, diesel och flygbränsle från Texas Gulf Coast till New York Harbor.

De pipeline förblev offline för en fjärde dag på måndag som en förebyggande åtgärd för att hindra skadlig programvara som infekterade företagets datanät från att spridas till de styrsystem som driver rörledningen. Hittills har den effekter på bensin och annan energiförsörjning verkar minimalt, och Colonial sa att de hoppades kunna få rörledningen igång igen i slutet av denna vecka.

Attacken föranledde nödmöten i Vita huset hela helgen, när tjänstemän försökte förstå om avsnittet var en kriminell handling – avsedd att låsa upp Colonials datanät om det inte betalade en stor lösen – eller var Rysslands eller en annan stat som använde kriminell grupp hemligt.

Hittills, sade underrättelsetjänstemän, tyder allt på att det helt enkelt var en handling av utpressning av gruppen, som först började distribuera sådan ransomware i augusti förra året och tros fungera från Östeuropa, möjligen Ryssland. Det fanns vissa bevis, även i gruppens egna uttalanden på måndag, som föreslog att gruppen helt enkelt hade för avsikt att pressa ut pengar från företaget, och blev förvånad över att det slutade skära av de viktigaste bensin- och flygbränsletillförseln till Eastern Seaboard.

Attacken avslöjade den anmärkningsvärda sårbarheten hos en nyckelledning för energi i USA när hackare blir mer fräck när de tar sig an kritisk infrastruktur, som elnät, rörledningar, sjukhus och vattenreningsanläggningar. Stadsregeringarna i Atlanta och New Orleans, och de senaste veckorna Washington, DC, polisavdelningen, har också drabbats.

Explosionen av ransomware-fall har drivits av ökningen av cyberförsäkring – vilket har gjort många företag och regeringar mogna mål för kriminella gäng som tror att deras mål kommer att betala – och av kryptovalutor, vilket gör det svårare att spåra utpressningsbetalningar.

I det här fallet var ransomware inte riktat mot ledningssystemet, sade federala tjänstemän och privata utredare, utan snarare back-office-verksamheten i Colonial Pipeline. Icke desto mindre tvingade rädslan för större skador företaget att stänga av systemet, ett drag som drev hem de enorma sårbarheterna i det sammanladdade nätverket som håller bensinstationer, truckstopp och flygplatser igång.

En preliminär utredning visade dålig säkerhetspraxis vid Colonial Pipeline, enligt federala och privata tjänstemän som är bekanta med utredningen. De förlorade, sade de, gjorde det troligtvis att bryta in och låsa upp företagets system ganska enkelt.

Colonial Pipeline har inte svarat på frågor om vilken typ av investering de gjort för att skydda sina nätverk och vägrar att säga om de betalar lösen. Och företaget verkade ovilliga att låta federala tjänstemän stärka sitt försvar.

“Just nu har de inte bett om cybersupport från den federala regeringen”, berättade Anne Neuberger, biträdande nationell säkerhetsrådgivare för cyber och framväxande teknik, till journalister vid en genomgång i Vita huset. Hon nekade att säga om den federala regeringen skulle rekommendera att betala lösen, och noterade att “företag är ofta i en svår position om deras data är krypterad och de inte har säkerhetskopior och inte kan återställa data.”

Medan Neuberger inte sa det, verkar det vara i huvudsak vad som hände med Colonial.

Mr. Biden, som förväntas tillkännage en verkställande order under de kommande dagarna för att stärka Amerikas cyberförsvar, sa att det inte fanns några bevis för att den ryska regeringen stod bakom attacken. Men han sa att han planerade att träffa Rysslands president Vladimir V. Putin snart – de två männen förväntas hålla sitt första toppmöte nästa månad – och han föreslog att Moskva skulle ha ett visst ansvar eftersom DarkSide tros ha rötter i Ryssland och landet ger en fristad för cyberbrottslingar.

”Det finns regeringar som blundar igen eller uppmuntrar dessa grupper bekräftande, och Ryssland är ett av dessa länder”, säger Christopher Painter, USA: s tidigare cyberdiplomat. “Att sätta press på säkra tillflyktsorter för dessa brottslingar måste vara en del av alla lösningar.”

Colonials rörledningar matar stora lagringstankar upp och ner på östkusten, och leveranser verkar rikligt, delvis på grund av minskad trafik under pandemin. Kolonial utfärdat ett uttalande på måndagen och sade att målet var att ”Väsentligen” återuppta tjänsten i slutet av veckan, men företaget varnade för att processen skulle ta tid.

Elizabeth Sherwood-Randall, Bidens rådgivare för inrikes säkerhet och en tidigare biträdande energisekreterare i Obama-administrationen, sade att energidepartementet ledde det federala svaret och hade ”kallat partnerna för olje- och naturgas- och elsektorn för att dela detaljer om ransomware-attacken och diskutera rekommenderade åtgärder för att mildra ytterligare incidenter i hela branschen. ” Hon noterade att den federala regeringen hade avslappnade regler för förare som transporterar bensin och flygbränsle med lastbil, i ett försök att lindra effekterna.

“Just nu finns det ingen leveransbrist”, sa hon. “Vi förbereder oss för flera möjliga eventualiteter.” Men hon sa att jobbet med att få tillbaka rörledningen online tillhörde Colonial.

För många tjänstemän som har kämpat i flera år för att skydda USA: s kritiska infrastruktur från cyberattacker är den enda överraskningen om händelserna de senaste dagarna att det tog så lång tid att hända. När Leon E. Panetta var försvarssekreterare under president Barack Obama varnade Mr. Panetta för en “cyber Pearl Harbor” som kunde stänga av kraft och bränsle, en fras som ofta används i ett försök att få kongressen eller företag att spendera mer på cyberförsvar.

Under Trump-administrationen utfärdade Department of Homeland Security varningar om rysk skadlig kod i det amerikanska kraftnätet och USA monterade ett inte så hemligt försök att sätta skadlig kod i det ryska nätet som en varning.

Men i de många simuleringar som genomförs av myndigheter och elföretag av hur en strejk mot den amerikanska energisektorn skulle se ut, ansågs vanligtvis ansträngningen som någon form av terroriststrejk – en blandning av cyber och fysiska attacker – eller en blitz från Iran , Kina eller Ryssland i början av en större militär konflikt.

Men detta fall var annorlunda: en kriminell skådespelare som, när han försökte pressa ut pengar från ett företag, hamnade på systemet. En ledande tjänsteman i Biden-administrationen kallade det ”det ultimata blandade hotet” eftersom det var en kriminell handling, den typ som USA normalt skulle svara på med arresteringar eller åtal, som resulterade i ett stort hot mot landets energiförsörjningskedja.

Genom att hota att “störa” ransomwaregruppen kan Mr Biden ha signalerat att administrationen rörde sig för att vidta åtgärder mot dessa grupper utöver att bara anklaga dem. Det var vad United States Cyber ​​Command gjorde förra året, före presidentvalet i november, när dess militära hackare bröt sig in i systemen för en annan ransomware-grupp, Trickbot, och manipulerade sina kommandot-och-datorservrar så att det inte kunde låsa upp nya offer med ransomware. Rädslan vid den tiden var att ransomwaregruppen skulle kunna sälja sina kunskaper till regeringar, inklusive Ryssland, som försökte frysa upp valtabeller.

På måndagen hävdade DarkSide att det inte verkade för en nationalstat, kanske i ett försök att distansera sig från Ryssland.

“Vi är opolitiska, vi deltar inte i geopolitiken, behöver inte knyta oss till en definierad regering och leta efter våra motiv”, heter det i ett uttalande som publiceras på sin webbplats. “Vårt mål är att tjäna pengar och inte skapa problem för samhället.”

Gruppen verkade något förvånad över att dess handlingar resulterade i att en större pipeline stängdes och föreslog att man kanske skulle undvika sådana mål i framtiden.

“Från och med idag introducerar vi moderering och kontrollerar varje företag som våra partner vill kryptera för att undvika sociala konsekvenser i framtiden”, säger gruppen, även om det var oklart hur det definierade “moderering”.

DarkSide är en relativt nykomling till ransomware-scenen, det som Neuberger kallade “en kriminell skådespelare” som hyr ut sina tjänster till högst budgivare och delar sedan “intäkterna med ransomware-utvecklare.” Det är i huvudsak en affärsmodell där några av de dåligt uppnådda vinsterna hälls i forskning och utveckling på mer effektiva former av ransomware.

Gruppen skildrar sig ofta som en slags digital Robin Hood, stjäl från företag och ger till andra. DarkSide säger att man undviker att hacka sjukhus, begravningsbyråer och ideella organisationer, men det riktar sig till stora företag och ibland donerar dess intäkter till välgörenhetsorganisationer. De flesta välgörenhetsorganisationer har avslagit sina erbjudanden om gåvor.

En ledtråd till DarkSides ursprung ligger i dess kod. Privata forskare noterar att DarkSides ransomware frågar offrens datorer om deras standardspråkinställning, och om det är ryska flyttar gruppen vidare till andra offer. Det verkar också undvika offer som talar ukrainska, georgiska och vitryska.

Dess kod har slående likheter med den som används av REvil, en ransomwaregrupp som var bland de första att erbjuda ”ransomware as a service” – i huvudsak hackare att hyra – för att hålla system gisslan med ransomware.

“Det verkar som om det här var en utlösning som ville gå i affärer för sig själva”, säger Jon DiMaggio, en före detta analytiker inom samhällsinformation som nu är den främsta säkerhetsstrategen för Analyst1. “För att få tillgång till REvil’s kod måste du ha den eller stjäla den eftersom den inte är allmänt tillgänglig.”

DarkSide ställer mindre lösenkrav än de åtta siffror som REvil är känd för – någonstans mellan 200 000 och 2 miljoner dollar. Det sätter en unik nyckel i varje lösensedel, sade DiMaggio, vilket antyder att DarkSide skräddarsyr attacker till varje offer.

“De är väldigt selektiva jämfört med de flesta ransomware-grupper”, sa han.

Leave a Reply

Your email address will not be published.