Неделю назад стало известно, что на трубопровод Colonial Pipeline в США совершена хакерская атака, в результате которой он приостановил транспортировку нефтепродуктов. Остановка трубопровода вызвала дефицит топлива и привела к временному росту цен на него. Тем временем в атаке подозревают хакеров из группировки DarkSide – которые могут быть связаны с Россией.

Что произошло

8 мая стало известно, что накануне, 7 мая, из-за хакерской атаки были временно остановлены операции компании Colonial Pipeline – оператора одноименной системы нефтепродуктопроводов, крупнейшей в США. С самого начала компания распространила заявление о том, что некоторые IT-системы затронуты прошедшей кибератакой, но руководство уже обратилось в правоохранительные органы и в специализированную фирму для расследования происшествия.

Проблема усугублялась масштабами деятельности компании – система нефтепроводов Colonial Pipeline представляет собой огромный комплекс, который снабжает все восточное побережье США бензином, дизельным и печным топливом и авиакеросином. Трубопроводы протянулись от Техаса на юге до Нью-Джерси на севере Штатов, обеспечивая 45% поставок нефтепродуктов в регионе и 20% в масштабе всей страны. По трубопроводу длиной 8850 километров можно прокачивать до 3 миллионов баррелей топлива между Техасом и Нбю-Йорком каждый день.

Из-за проблем с безопасностью Colonial Pipeline не только остановила прокачку нефтепродуктов, но и была вынуждена закрыть линии по производству бензина и дистиллята.

Вскоре власти объявили режим чрезвычайной ситуации регионального масштаба – оказалось, что их-за непредвиденного отключения нефтепродуктопроводов сорвались поставки топлива сразу в 18 штатов и округ Колумбия. В американском Минтрансе сразу же заявили о необходимости обеспечить бесперебойные поставки топлива, а в крупных городах начали расти цены на бензин и к АЗС выстроились очереди.

Буквально сразу же после кибератаки стало известно, что ее совершила хакерская группа DarkSide. Как считается, в нее входят хакеры из стран Восточной Европы – в том числе и из России.

Какими будут последствия атаки

Это уже не первая проблема у Colonial Pipeline – с 1996 по 1999 годы у компании произошло три разлива нефтепродуктов, которые причинили существенный экологический ущерб водным ресурсам Юго-Востока США. А в 2020-м произошел один из крупнейших разливов бензина в истории – 1,2 миллиона галлонов топлива вытекло в заповеднике в Хантерсвилле, штат Северная Каролина.

Но на этот раз авария поставила под удар не репутацию компании, а ее потребителей. Кибератака произошла 7 мая, но по состоянию на 13 число трубопроводы еще не восстановили свою работу – это произошло чуть позже. До возобновления работы как минимум в 4 штатах (Северная Каролина, Виргиния, Южная Каролина и Джорджия) на половине и более АЗС уже не было бензина, а стоимость приблизилась к максимальной с 2014 года.

Проблема сразу получила федеральный масштаб – ее решением занимались совместно Министерства энергетики и внутренней безопасности США и даже ФБР. В 19 штатах был объявлен режим ЧС, а топливо начали возить на заправки на грузовиках (водителям которых разрешили работать сверхурочно).

Colonial Pipeline обеспечивает 45% поставок на восточное побережье, перекачивая топливо с нефтеперерабатывающих заводов в районе Мексиканского залива. Кроме автомобилистов пострадать могли и авиакомпании – они даже вводили промежуточные посадки для дозаправки в Далласе и Бостоне. А американские власти в спешном порядке готовятся приостановить действие закона, запрещающего прибрежные морские перевозки под иностранными флагами – чтобы иностранные танкеры могли возить бензин из Мексиканского залива в порты восточного побережья.

Перезапустили трубопроводы только сегодня – 13 мая, но на возвращение к работе в обычном режиме потребуется несколько дней. В компании ожидают, что на полную мощность Colonial Pipeline заработает только к концу недели. Итого простаивал трубопровод 6 дней, плюс какое-то время уйдет на выход на рабочий режим.

Судя по всему, на рынок нефти и нефтепродуктов ситуация кардинально не повлияла – несмотря на сокращение уровня запасов нефтепродуктов до 5-летнего минимума, цены на них существенно не выросли, как и цены на нефть. Однако в данном случае основную роль сыграли причины и длительность остановки – поскольку трейдеры понимают, что трубопровод достаточно быстро перезапустят, а причина лишь в кибератаке, они не стали скупать фьючерсы на бензин и поднимать на них цену еще сильнее.

Кто причастен к атаке?

С самого начала остановки трубопровода руководство стало известно, что за этим стоит хакерская группировка DarkSide. В данном случае хакеры «заразили» вирусом-вымогателем административные компьютеры компании, зашифровали определенный массив данных и потребовали выкуп для восстановления работоспособности.

Это уже не первая история с этой группировкой – раньше она брала на себя ответственность за атаки на две бразильские энергетические компании (февраль 2021 года). Причем в случае с компанией Eletrobras оказалось, что поражены были компьютеры в филиале, работающем с двумя АЭС. В тот раз, как и сейчас, кибератака стала поводом приостановить деятельность компаний.

Правда, ситуация может быть несколько иной – группировка DarkSide занимается и поставкой вирусов-вымогателей по заказам «покупателей». Хакеры требуют, чтобы их вирусы не использовались против больниц, школ, органов власти, производителей вакцин (и, судя по всему, компаний на территории бывшего СССР). У группировки есть даже «служба поддержки» для пользователей и жертв вируса, с каждой атаки они получают от 200 тысяч до 20 миллионов долларов в криптовалюте.

Работает группировка по двум направлениям – компании-жертве сначала предлагают выкупить свою информацию, а в случае отказа эта информация появляется на сайте группировки DarkSide Leaks, доступной к покупке. При этом хакеры даже занимаются благотворительностью – в прошлом году они перевели по 10 тысяч долларов двум фондам.

Кстати, после атаки на Colonial Pipeline, на сайте DarkSide появилось сообщение о том, что теперь группировка будет более тщательно проверять каждую компанию, на которую получит «заказ» – чтобы минимизировать общественные последствия.

Несмотря на то, что хакерская группировка состоит из представителей стран Восточной Европы, включая россиян, власти США и американские СМИ до сих пор не выдвинули никаких обвинений в адрес России, чего следовало бы ждать в такой ситуации. Министр энергетики США в эфире CNN даже прямо заявил – власти не считают, что кибератака прямо связана с Россией. При этом хакеры могут быть из любой страны, но это не означает, что атаку совершило государство.

Правда, американский президент Джо Байден заявил, что связанное с атакой ПО могло находится на территории России (тем не менее, не высказав претензий и не обвинив в этом государство). О непричастности России к кибератаке заявил и пресс-секретарь российского президента Дмитрий Песков – который также посетовал на то, что США отказываются от сотрудничества с Россией в сфере кибербезопасности.