Kybernetický útok na Colonial Pipeline

Štítky:

Na jar tohto roka došlo ku kybernetickému útoku na palivové potrubia americkej spoločnosti Colonial Pipeline. [1] Tento útok sa radí medzi najdôležitejšie tohtoročné udalosti na poli nevojenskej bezpečnosti. V tomto článku sa v kontexte pozrieme na to, čo o útoku vieme, ale aj na jeho implikácie pre dodávky paliva v Spojených štátoch a na reakciu americkej bezpečnostnej politiky, predovšetkým jej energetickej dimenzie.

Kontext útoku

Hackeri sa do systému Colonial Pipeline dostali už 29. apríla, no odpoveď zo strany spoločnosti prišla až cca o týždeň neskôr. [2] V dôsledku tohto útoku musela spoločnosť uzavrieť celú svoju rozvodnú sieť. Colonial Pipeline dodáva približne 45% paliva na východné pobrežie Spojených štátov a operuje najväčšiu americkú palivovú rozvodnú sieť: táto takmer 9-tisíc kilometrov dlhá sieť každý deň preváža asi dva a pol milióna barelov pohonných hmôt z rafinérií na pobreží Mexického zálivu do južných a východných štátov federácie. Medzi klientov patrí aj letisko v Atlante, ktoré je počtom pasažierov najvyťaženejšie na svete. [1] [2]

Rozvodná sieť Colonial Pipelines. Zdroj: Wall Street Journal.

Počas samotného útoku potrebovali útočníci len dve hodiny na to, aby získali takmer 100 GB dát. Po zisku týchto dát hackeri počítače uzamkli a začali žiadať výkupné s tým, že ak spoločnosť nezaplatí, tak ukradnuté dáta zverejnia. [3] Pri samotnom útoku hackeri zneužili VPN systém bez 2-faktorovej autentifikácie, a tak im na útok stačilo jedno heslo. Zneužitá VPN slúžila zamestnancom na prácu z domu. Podľa informácii portálu Bloomberg sa útočníci k heslu dostali pravdepodobne cez dark web. [2] [4]

Útok sa pripisuje pôvodom východoeurópskej skupine DarkSide, pomenovanej podľa svojho ransomvéru. Spoločnosť Colonial Pipelines v odpovedi prešla s niektorými systémami do offline režimu, aby zastavila šírenie malvéru. V dôsledku tohto kroku však boli na šesť dní pozastavené všetky operácie rozvodnej siete. [3] [5] Ransomvérové útoky na energetický sektor pritom majú veľký rastový potenciál, pretože tento sektor zahŕňa dlhé rozvodné siete, na ktorých je umiestnený veľký počet zariadení, väčšina z ktorých je zraniteľná. [6] Colonial Pipeline v rámci vyšetrovania od začiatku spolupracuje s kyberbezpečnostnou firmou FireEye a federálnymi vyšetrovateľmi. [1]

Zasiahnutá spoločnosť v bitcoinoch zaplatila 4,4 milióna amerických dolárov, neskôr sa jej s pomocou ministerstva spravodlivosti podarilo naspäť získať 2,3 milióna z tejto čiastky. [7] Pre túto operáciu boľo kľúčové to, že FBI mala prístupový kľúč ku bitcoinovej peňaženke. Ako sa federálni vyšetrovatelia dostali k tomuto kľúču je zatiaľ neznáme. [8] CEO spoločnosti, Joseph Blount, sa rozhodol zaplatiť výkupné, aby sa tak predišlo ďalším a väčším škodám. [9] Blount zároveň priznal, že firma nemala pripravenú krízovú stratégiu pre prípad ransomvérového útoku, a to napriek varovaniam agentúry CISA, ktorá už vo februári 2020 upozorňovala na zraniteľnosť tohto odvetvia. [10] Šesťdňový výpadok sa prejavil na vyšších cenách palív, prípadne ich nedostatkom na niektorých čerpacích staniciach. Čo sa týka výšky výkupného, podľa odhadov mohli hackeri od cieľu, akým je Colonial Pipeline, požadovať aj 7-násobne viac. [11]

Podľa zdrojov portálu Reuters sa do vyšetrovania od začiatku zapojili CISA a TSA, zatiaľčo federálne ministerstvo energetiky sa venovalo monitoringu dopadov útoku na dodávky pohonných hmôt. [1] Napriek predpokladanej geografickej proximite Ruskej federácie so skupinou DarkSide je spájanie ruského politického vedenia s útokom v špekulatívnej rovine. Toto spájanie odmietol aj samotný americký prezident Joe Biden. [12] Vzhľadom na to, že skupina DarkSide vo všeobecnosti deklaruje čisto ekonomickú motiváciu, no žiadala len zlomkové výkupné z toho, čo podľa odhadov mohla, otvára sa značný priestor pre hypotetické spájanie Kremľa s hackermi a útokom na rozvodnú sieť. Situáciu by totiž bolo možné z istého uhľa pohľadu čítať aj ako čisto politickú manifestáciu kybernetických schopností – a zarážajúco nízke výkupné by v tejto interpretácii figurovalo ako jasný dôkaz toho, že útok nesledoval ekonomické ciele, ale mal len deklarovať pokročilú úroveň schopností v kybernetickom priestore.

Dopady na dodávky paliva

Výpadok síce trval len niekoľko málo dní, no v jeho dôsledku došlo ku panickému skupovaniu paliva (panic buying) a prejavili sa aj nedostatočné dodávky. [13] [14] Problémy s dodávkami boli umocnené aj načasovaním: začali sa v máji, teda začiatkom americkej letnej cestovateľskej sezóny. Ešte pred samotným útokom sa pritom očakávalo, že problémy s dostupnosťou paliva môžu počas letnej cestovateľskej sezóny nastať aj v dôsledku kompenzácie obmedzenej mobility počas protipandemických opatrení. [15]

Percentuálny vývoj cien pohonných hmôt na východnom pobreží USA od útoku. Zdroj: U.S. Energy Information Administration.

Z krátkodobého hľadiska bol tvrdo zasiahnutý Washington, kde bolo 80% čerpacích staníc bez paliva. Bez paliva ostalo celkovo viac ako 12-tisíc staníc. Nedostatky boli citeľné aj na veľkých podieloch staníc v Severnej Karolíne, Georgii, Južnej Karolíne a vo Virgínii. [16] Signifikantne sa nedostatočné dodávky prejavili v dokopy až 11 amerických štátoch. Nedostatky pritom pocítila aj Florida, ktorú Colonial Pipeline vôbec nezásobuje. [17] Vyrovnanie nedostatočných dodávok je pritom otázkou cca dvoch týždňov, rádovo v tomto prípade teda platí, že každý deň výpadku sa kompenzuje dva ďalšie dni. [18]

Nezanedbateľný bol aj dopad útoku na cenu paliva, ktorá presiahla 3$ za galón – teda sa dostala na úrovne, aké dosahovala naposledy v roku 2014, kedy sa ceny približovali extrémnym výškam známym z roku 2008. [19]

Vývoj ceny pohonných hmôt na východnom pobreží USA od roku 2008. Zdroj: U.S. Energy Information Administration

Reakcia americkej energetickej a bezpečnostnej politiky

V dôsledku uzatvorenia rozvodnej siete ostalo veľké množstvo palív v rafinériách v Texase. [20] Americká energetická politika siahla po dvoch alternatívnych spôsoboch prepravy: po cestných komunikáciách a po mori. Ministerstvo dopravy pristúpilo k deregulácii cestnej prepravy za účelom zmiernenia dopadov výpadku dodávok. [21] Prezident Biden zase dočasne povolil prepravu palív medzi Mexickým zálivom a východným pobrežím Spojených štátov aj na zahraničných plavidlách. [18]

V reakcii na incident sa menia aj regulácie kybernetickej bezpečnosti pre rozvodné siete. Ministerstvo domácej bezpečnosti vydalo novú bezpečnostnú smernicu, ktorá nariaďuje operátorom potrubných vedení ohlasovať potvrdené aj potenciálne kyberbezpečnostné incidenty agentúre CISA, ktorá spadá pod toto ministerstvo. Podľa tejto smernice sú operátori taktiež povinní zriadiť pozíciu koordinátora kybernetickej bezpečnosti, ktorý bude nepretržite k dispozícii. Majitelia a operátori potrubných vedení sú okrem toho povinní vyhodnotiť a analyzovať svoje súčasné politiky v oblasti kybernetickej bezpečnosti a spoločne s prípadnými rizikami tieto bilancie odovzdať agentúram TSA a CISA, ktoré spadajú pod federálne ministerstvo domácej bezpečnosti. [22] Ministerstvo tak do veľkej miery nadväzuje na tzv. Pipeline Cybersecurity Initiative z októbra 2018. [23] Avšak, ako poukazuje portál Wall Street Journal, pre bezpečnosť rozvodných sietí je taktiež potrebné zvýšiť bezpečnosť všetkých zariadení, ktoré sa využívajú na tisíckach kilometrov dlhých potrubiach. [6]

Ransomvérový útok na Colonial Pipeline sa do určitej miery preniesol aj do summitu prezidentov Bidena a Putina. [24] Prezident Spojených štátov sa na tomto stretnutí ohradil proti kybernetickým útokom na 16 sektorov, ktoré tvoria kritickú infraštruktúru. Jedným z týchto sektorov je aj energetika. [25] [26] Podľa medializovaných informácií ohľadom prezidentského summitu predstavoval kybernetický priestor jednu z hlavných tém stretnutia. V tejto oblasti Biden incioval väčšiu mieru ruských intervencií proti hackerom operujúcim z ruského územia. [25]


Poznámky pod čarou

[1]   BING, Christopher a KELLY, Stephanie. 2021. “Cyber attack shuts down U.S. fuel pipeline ‘jugular,’ Biden briefed.” Reuters, máj 8, 2021. https://www.reuters.com/technology/colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/#main-content

[2]   TURTON, William a MEHROTHRA, Kartikay. 2021. “ Hackers Breached Colonial Pipeline Using Compromised Password.“ Bloomberg, jún 4, 2021. https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password

[3]   ROBERTSON, Jordan a TURTON, William. 2021. “Colonial Hackers Stole Data Thursday Ahead of Shutdown.” Bloomberg, máj 9, 2021. https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

[4]   KELLY, Stephanie a RESNICK-AULT, Jessica. 2021. “One password allowed hackers to disrupt Colonial Pipeline, CEO tells senators.” Reuters, jún 9, 2021. https://www.reuters.com/business/colonial-pipeline-ceo-tells-senate-cyber-defenses-were-compromised-ahead-hack-2021-06-08/

[5]   VOLZ, Dustin. 2021. “U.S. Blames Criminal Group in Colonial Pipeline Hack.“ The Wall Street Journal, máj 10, 2021. https://www.wsj.com/amp/articles/fbi-suspects-criminal-group-with-ties-to-eastern-europe-in-pipeline-hack-11620664720

[6]   EATON, Collin, RUNDLE, James, UBERTI, David. 2021. “U.S. Pipeline Shutdown Exposes Cyber Threat to Energy Sector.” The Wall Street Journal, máj 9, 2021. https://www.wsj.com/amp/articles/u-s-pipeline-shutdown-exposes-cyber-threat-to-energy-sector-11620574464?mod=hp_lead_pos3&mod=article_inline

[7]   PEREZ, Evan, COHEN, Zachary, MARQUADT, Alex. 2021. “First on CNN: US recovers millions in cryptocurrency paid to Colonial Pipeline ransomware hackers.” CNN, jún 8, 2021. https://edition.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[8]   BING, Christopher, MENN, Joseph, LYNCH, Sarah N. 2021. “U.S. seizes $2.3 mln in bitcoin paid to Colonial Pipeline hackers.” Reuters, jún 8, 2021. https://www.reuters.com/business/energy/us-announce-recovery-millions-colonial-pipeline-ransomware-attack-2021-06-07/

[9]   EATON, Collin, VOLZ, Dustin. 2021. “Colonial Pipeline CEO Tells Why He Paid Hackers a $4.4 Million Ransom.” The Wall Street Journal, máj 19, 2021. https://www.wsj.com/amp/articles/colonial-pipeline-ceo-tells-why-he-paid-hackers-a-4-4-million-ransom-11621435636

[10]              RILEY, Tonya. 2021. “Colonial Pipeline CEO says company didn’t have plan for potential ransomware attack.” Cyberscoop, jún 8, 2021. https://www.cyberscoop.com/colonial-pipeline-ransomware-senate-hack/

[11]              TURTON, William, RILEY, Michael, JACOBS, Jennifer. 2021. “Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom.” Bloomberg, máj 13, 2021. https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom

[12]              Reuters. 2021. “Russia denies involvement in Colonial Pipeline cyberattack.” Reuters, máj 11, 2021. https://www.reuters.com/business/energy/russia-denies-involvement-colonial-pipeline-cyberattack-2021-05-11/

[13]              McCORMICK, Myles a BROWER, Derek. 2021. “Panic buying sends US petrol prices above $3 a gallon.“ Financial Times, máj 12, 2021. https://www.ft.com/content/a92953e5-47de-4f08-8f53-46eb8c734d06

[14]              NEWBURGER, Emma. 2021. “Colonial Pipeline resumes normal operations after hack, but many gas stations still face shortages.” CNBC, máj 15, 2021. https://www.cnbc.com/2021/05/15/colonial-pipeline-resumes-normal-operations-after-hack.html

[15]              ISIDORE, Chris a CNN Bussiness. 2021. “Coming this summer: Gas stations running out of gas.” CNN, apríl 27, 2021. https://edition.cnn.com/2021/04/27/business/summer-gasoline-shortage/index.html

[16]              ENGLUND, Will a NAKASHIMA, Ellen. 2021. “ Panic buying strikes Southeastern United States as shuttered pipeline resumes operations.“ The Wasgington Post, máj 12, 2021. https://www.washingtonpost.com/business/2021/05/12/gas-shortage-colonial-pipeline-live-updates/

[17]              McEVOY, Jemima. 2021. “Gas Shortages Stretch To 11 States: Large Swaths Of The Carolinas, Georgia And Virginia Go Dry.” Forbes, máj 12, 2021. https://www.forbes.com/sites/jemimamcevoy/2021/05/12/gas-shortages-stretch-to-11-states-large-swaths-of-the-carolinas-georgia-and-virginia-go-dry/?sh=71b735ab144e

[18]              EGAN, Matt a CNN Bussiness. 2021. “Colonial Pipeline is restarting but the gas crisis isn’t over.” CNN, máj 13, 2021. https://edition.cnn.com/2021/05/13/business/gas-shortage-colonial-pipeline/index.html

[19]              REIMANN, Nicholas. 2021. “Colonial Pipeline Restarts Operations After Hack, But Fuel Shortages Will Linger.” Forbes, máj 12, 2021. https://www.forbes.com/sites/nicholasreimann/2021/05/12/colonial-pipeline-restarts-operations-after-hack-but-fuel-shortages-to-linger/?sh=6baca9647862

[20]              RUSSON, Mary-Ann. 2021. “US fuel pipeline hackers ‚didn’t mean to create problems‘.” BBC, máj 10, 2021. https://www.bbc.com/news/business-57050690

[21]              U.S. Department of Transportation. 2021. “U.S. Department of Transportation’s Federal Motor Carrier Administration Issues Temporary Hours of Service Exemption in Response to the Unanticipated Shutdown of the Colonial Pipeline.” U.S. Department of Transportation, máj 9, 2021. https://www.transportation.gov/briefing-room/us-department-transportations-federal-motor-carrier-administration-issues-temporary

[22]              U.S. Department of Homeland Security. 2021. “DHS Announces New Cybersecurity Requirements for Critical Pipeline Owners and Operators.” U.S. Department of Homeland Security, máj 27, 2021. https://www.dhs.gov/news/2021/05/27/dhs-announces-new-cybersecurity-requirements-critical-pipeline-owners-and-operators

[23]              Cybersecurity and Infrastructure Security Agency. “Pipeline Cybersecurity Overview.” https://www.cisa.gov/sites/default/files/publications/fact_sheet_pci_508.pdf

[24]              SOLDATKIN, Vladimir a HOLLAND, Steve. “Far apart at first summit, Biden and Putin agree to steps on cybersecurity, arms control.” Reuters, jún 17, 2021. https://www.reuters.com/world/wide-disagreements-low-expectations-biden-putin-meet-2021-06-15/

[25]              LYNGAAS, Sean. 2021. “Biden says he gave Putin list of 16 sectors that should be off-limits to hacking.” Cyberscoop, jún 16, 2021. https://www.cyberscoop.com/biden-putin-summit-russia-geneva/

[26]              Cybersecurity and Infrastructure Security Agency. “Critical Infrastructure Sectors.” https://www.cisa.gov/critical-infrastructure-sectors

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.