Colonial Pipeline - Atak na operatora rurociągu.
Kolejny operator rurociągu przesyłowego – Colonial Pipeline został objęty incydentem wynikającym z ataku ransomware. W zależności od źródła podawane są różne daty indygenatu: czwartek 6.05 kiedy miało dojść do wycieku, lub 7.05 kiedy operator zorientował się, że dane wyciekły. FBI podejrzewa, że za atakiem stoi grupa DarkSide.
Bloomberg w oparciu o źródła śledczych, podaje, że DarkSide wykradło ok. 100 gigabajtów danych w przeciągu 2 godzin, następnie zaszyfrowało część biurową, nie naruszając jednak sieci i systemów związanych bezpośrednio z infrastrukturą przemysłową, służącą do przesyłu paliwa.
W ramach strategii radzenia sobie z atakiem i niedopuszczenia do uszkodzenia systemów, Colonial wstrzymało pracę tych systemów i tym samym dostawy surowca do odbiorców na całym wschodnim wybrzeżu Stanów Zjednoczonych została całkowicie zablokowana. W efekcie Firma od 5 dni nie dostarcza do żadnego ze swoich odbiorców, a skutki tej decyzji są niezwykle dotkliwe dla amerykańskiej gospodarki. Jak informuje BBC w związku z atakiem i decyzjami Colonial odbiorcy detaliczni mają poważne problemy z zakupem paliwa, a brak tego surowca w obrębie Karoliny Południowej, spowodował ogłoszenie przez władze stanowe, stanu wyjątkowego. Rząd stanów zjednoczonych ogłosił już powołanie specjalnego międzyagencyjnego sztabu kryzysowego, którego zadaniem jest zminimalizowanie negatywnego wpływu ataku na wszystkich poszkodowanych.
Dyrektor CISA w wywiadzie dla “Politico” wyjaśnia, że sprawy od strony operacyjnej są bardziej skomplikowane. Jak możemy się dowiedzieć z tego wywiadu ani Colonial Pipeline, ani FireEye, który z ramienia Colonial obsługuje ten incydent, nie udostępnia rządowej agencji żadnych istotnych technicznych szczegółów ataku.
Należy tutaj zaznaczyć, że agenci CISA już w lutym 2020 informowało o możliwości możliwych atakach ransomware na operatorów rurociągów przesyłowych. Szczegóły nie były wtedy podane do ogólnej wiadomości, jednak firma Dragos sugerowała, że ma to bezpośredni związek z atakiem na jednego z operatorów rurociągu gazu ziemnego, do którego faktycznie doszło w 2019 roku. Atak ten był opisany w biuletynie amerykańskiej marynarki wojennej i wskazano w nim, że chodzi o ransomware’a Ryuk.