F. B. I. Ardışık Düzen Saldırısının Ardındaki Grubu Tanımlar

Başkan Biden Pazartesi günü yaptığı açıklamada, FBI’ın benzin ve jet yakıtının neredeyse yarısının akışını kesintiye uğratan büyük bir fidye yazılımı saldırısından resmen sorumlu olduğu DarkSide adlı bir hackerlar çetesinin ABD’nin “rahatsız edeceğini ve yargılayacağını” söyledi. Doğu Yakası’na malzeme.

FBI, fidye yazılımı çabasının yayılabileceğinden açıkça endişe duyarak, büyük boru hattını kontrol eden özel bir firma olan Colonial Pipelines’ı kilitleyen türden bir kod arayışında olmaları için elektrik tesislerine, gaz tedarikçilerine ve diğer boru hattı operatörlerine acil durum uyarısı yayınladı. Texas Gulf Coast’tan New York Harbor’a benzin, dizel ve jet yakıtı taşıyor.

Boru hattı, şirketin bilgisayar ağlarına bulaşan kötü amaçlı yazılımın boru hattını çalıştıran kontrol sistemlerine yayılmasını önlemek için önleyici bir önlem olarak Pazartesi günü dördüncü gün boyunca devre dışı kaldı. Şimdiye kadar, benzin ve diğer enerji kaynakları üzerindeki etkiler çok az görünüyor ve Colonial, boru hattının bu hafta sonuna kadar tekrar çalışmaya başlamasını umduğunu söyledi.

Saldırı, hafta sonu boyunca Beyaz Saray’da acil toplantılara yol açtı, çünkü yetkililer, olayın tamamen suç bir eylem olup olmadığını – büyük bir fidye ödemedikçe Colonial’ın bilgisayar ağlarını kilitlemeyi amaçladı – yoksa Rusya’nın işi mi yoksa başka bir şeyin mi olduğunu anlamaya çalıştı. suç örgütünün gizlice kullanıldığını belirtmek.

Şu ana kadar, istihbarat yetkilileri, tüm göstergelerin, bu tür fidye yazılımlarını ilk olarak geçen Ağustos ayında dağıtmaya başlayan ve muhtemelen Rusya olmak üzere Doğu Avrupa’dan işlediğine inanılan grup tarafından yapılan bir gasp eylemi olduğunu söylediler. Grubun Pazartesi günü yaptığı açıklamalarda bile, grubun şirketten zorla para toplamayı amaçladığını ve Doğu Kıyısı için ana benzin ve jet yakıtı tedarikini kesmesine şaşırdığını gösteren bazı kanıtlar vardı.

Saldırı, bilgisayar korsanları elektrik şebekeleri, boru hatları, hastaneler ve su arıtma tesisleri gibi kritik altyapıları ele geçirme konusunda daha küstah hale geldikçe, Amerika Birleşik Devletleri’nde enerji için önemli bir kanalın olağanüstü savunmasızlığını ortaya çıkardı. Atlanta ve New Orleans şehir hükümetleri ve son haftalarda Washington, D. C., Polis Departmanı da vuruldu.

Fidye yazılımı vakalarının patlaması, birçok şirketi ve hükümeti hedeflerinin ödeyeceğine inanan suç çeteleri için olgun hedefler haline getiren siber sigortanın ve gasp ödemelerinin izlenmesini zorlaştıran kripto para birimlerinin yükselişiyle alevlendi.

Federal yetkililer ve özel müfettişler, bu durumda fidye yazılımının boru hattının kontrol sistemlerine değil, Kolonyal Boru Hattı’nın arka ofis operasyonlarına yönelik olduğunu söylediler. Bununla birlikte, daha büyük hasar korkusu şirketi, benzin istasyonlarını, kamyon duraklarını ve havalimanlarını çalışır durumda tutan birbirine yamalanmış ağdaki büyük güvenlik açıklarını ortaya çıkaran bir hareket olan sistemi kapatmaya zorladı.

Soruşturmaya aşina olan federal ve özel yetkililere göre, bir ön soruşturma Koloni Boru Hattı’ndaki zayıf güvenlik uygulamalarını gösterdi. Hataların, büyük olasılıkla şirketin sistemlerine girip kilitlenme eylemini oldukça kolaylaştırdığını söylediler.

Colonial Pipeline, ağlarını korumak için ne tür bir yatırım yaptığı konusundaki soruları yanıtlamadı ve fidyeyi ödeyip ödemediğini söylemeyi reddetti. Ve şirket, federal yetkililerin savunmasını güçlendirmesine izin verme konusunda isteksiz görünüyordu.

Siber ve gelişmekte olan teknolojiden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, Beyaz Saray’daki bir brifingde gazetecilere “Şu anda, federal hükümetten siber destek talep etmediler,” dedi. Federal hükümetin fidye ödemeyi tavsiye edip etmeyeceğini söylemeyi reddetti ve “verileri şifrelenmişse ve yedekleri yoksa ve verileri kurtaramazsa şirketler genellikle zor durumda kalıyor. ”

Bayan Neuberger bunu söylemese de, esasen Colonial’a olan şey bu gibi görünüyor.

Önümüzdeki günlerde Amerika’nın siber savunmalarını güçlendirmek için bir idari emir açıklaması beklenen Biden, saldırının arkasında Rus hükümetinin olduğuna dair hiçbir kanıt bulunmadığını söyledi. Ancak yakın zamanda Rusya Devlet Başkanı Vladimir V. Putin ile görüşmeyi planladığını söyledi – iki adamın önümüzdeki ay ilk zirvesini düzenlemesi bekleniyor – ve Moskova’nın biraz sorumluluk üstlenmesini önerdi çünkü DarkSide’ın Rusya’da kökleri olduğuna inanılıyor ve ülke sağlıyor siber suçlular için bir sığınak.

Amerika Birleşik Devletleri’nin eski en iyi siber diplomatı Christopher Painter, “Bu grupları görmezden gelen veya olumlu bir şekilde teşvik eden hükümetler var ve Rusya da bu ülkelerden biri” dedi. “Bu suçlular için güvenli limanlara baskı yapmak her çözümün bir parçası olmalı. ”

Colonial’ın boru hatları Doğu Kıyısı boyunca büyük depolama tanklarını besliyor ve kısmen pandemi sırasında azalan trafik nedeniyle bol miktarda malzeme bulunuyor. Colonial Pazartesi günü yaptığı açıklamada, amacının hafta sonuna kadar “büyük ölçüde” hizmete devam etmek olduğunu söyledi, ancak şirket sürecin zaman alacağı konusunda uyardı.

Baltimore’da bir Koloni Boru Hattı tesisi. Boru hatları, Doğu Kıyısı boyunca büyük depolama tanklarını besliyor. Kredi. . . Jim Lo Scalzo / EPA, Shutterstock aracılığıyla

Bay Biden’in iç güvenlik danışmanı ve Obama yönetiminde eski enerji bakanı yardımcısı Elizabeth Sherwood-Randall, Enerji Bakanlığı’nın federal müdahaleye öncülük ettiğini ve “petrol, doğalgaz ve elektrik sektörü hizmet ortaklarını bir araya getirdiğini söyledi. fidye yazılımı saldırısıyla ilgili ayrıntıları paylaşmak ve sektördeki diğer olayları azaltmak için önerilen önlemleri tartışmak. “Federal hükümetin, etkileri hafifletmek amacıyla benzin ve jet yakıtı kamyonla taşıyan sürücüler için kuralları gevşettiğini belirtti.

“Şu anda arz sıkıntısı yok” dedi. “Muhtemel çoklu durumlara hazırlanıyoruz. Ama boru hattını tekrar çevrim içi hale getirme işinin Colonial’a ait olduğunu söyledi.

Amerika Birleşik Devletleri’nin kritik altyapısını siber saldırılardan korumak için yıllardır mücadele eden birçok yetkili için, son birkaç günde yaşanan olayların tek sürprizi, gerçekleşmelerinin çok uzun sürmesidir. Leon E. Panetta, Başkan Barack Obama yönetiminde savunma sekreteri olduğunda, Bay Panetta, genellikle Kongre veya şirketlerin siber savunma için daha fazla harcama yapmasını sağlamak amacıyla kullanılan bir ifade olan, gücü ve yakıtı kesebilecek bir “siber Pearl Harbor” konusunda uyardı.

Trump yönetimi sırasında, İç Güvenlik Bakanlığı, Amerikan elektrik şebekesindeki Rus kötü amaçlı yazılımları hakkında uyarılar yayınladı ve Amerika Birleşik Devletleri, Rus şebekesine bir uyarı olarak kötü amaçlı yazılım koymak için çok gizli olmayan bir çaba gösterdi.

Ancak, Amerikan enerji sektörüne yönelik bir grevin nasıl görüneceğine dair hükümet kurumları ve elektrik şirketleri tarafından yürütülen birçok simülasyonda, çaba genellikle bir tür terörist saldırısı – bir siber ve fiziksel saldırı karışımı – ya da İran’ın saldırısı olarak tasavvur ediliyordu. Çin veya Rusya daha büyük bir askeri çatışmanın başlangıç ​​anlarında.

Ancak bu durum farklıydı: Bir şirketten zorla para almaya çalışan bir suçlu aktör sonunda sistemi çökertiyordu. Üst düzey bir Biden yönetim yetkilisi, bunu “nihai karma tehdit” olarak nitelendirdi çünkü bu suç bir eylemdi, ABD’nin normalde tutuklamalar veya iddianamelerle yanıt vereceği türden, ulusun enerji tedarik zincirine büyük bir tehdit oluşturdu.

Bay Biden, fidye yazılımı grubunu “bozmakla” tehdit ederek, yönetimin bu gruplara karşı sadece onları suçlamaktan öte harekete geçmekte olduğunun sinyalini veriyor olabilir. Amerika Birleşik Devletleri Siber Komutanlığının geçen yıl Kasım ayındaki cumhurbaşkanlığı seçimleri öncesinde, askeri hackerları Trickbot adlı başka bir fidye yazılımı grubunun sistemlerine girip komuta ve kontrol bilgisayar sunucularını değiştiremeyecek şekilde manipüle ettiklerinde yaptığı buydu. yeni kurbanları fidye yazılımıyla kilitleyin. O zamanki korku, fidye yazılımı grubunun becerilerini seçim cetvellerini dondurmaya çalışan Rusya da dahil olmak üzere hükümetlere satabileceğiydi.

DarkSide Pazartesi günü, belki de Rusya’dan uzaklaşma çabasıyla bir ulus devlet adına faaliyet göstermediğini savundu.

Web sitesinde yaptığı açıklamada, “Apolitikiz, jeopolitiğe katılmıyoruz, bizi tanımlanmış bir hükümete bağlamamız ve gerekçelerimizi aramamıza gerek yok” denildi. “Amacımız para kazanmak ve toplum için sorun yaratmamaktır. ”

Grup, eylemlerinin büyük bir boru hattının kapanmasıyla sonuçlanmasına şaşırmış gibi göründü ve belki de gelecekte bu tür hedeflerden kaçınacağını öne sürdü.

Grup, “Bugünden itibaren moderasyonu tanıtıyoruz ve gelecekte sosyal sonuçlardan kaçınmak için ortaklarımızın şifrelemek istediği her şirketi kontrol ediyoruz,” dedi, ancak “moderasyonu nasıl tanımladığı belirsizdi.” ”

DarkSide, fidye yazılımı sahnesinde görece yeni bir kişidir, Bayan Neuberger, hizmetlerini en yüksek teklifi verene kiralayan ve ardından “gelirini fidye yazılımı geliştiricileriyle paylaşan” suçlu bir aktör “olarak adlandırdığı şeydir. Temelde, kötü elde edilen bazı kazanımların daha etkili fidye yazılımı biçimleriyle ilgili araştırma ve geliştirmeye aktarıldığı bir iş modelidir.

Grup genellikle kendisini şirketlerden çalan ve başkalarına veren bir tür dijital Robin Hood olarak tasvir ediyor. DarkSide, hastaneleri, cenaze evlerini ve kar amacı gütmeyen kuruluşları hacklemekten kaçındığını, ancak gelirlerini zaman zaman hayır kurumlarına bağışlayarak büyük şirketleri hedef aldığını söylüyor. Çoğu hayır kurumu hediye tekliflerini geri çevirdi.

DarkSide’ın kökenine dair bir ipucu kodunda yatmaktadır. Özel araştırmacılar, DarkSide’ın fidye yazılımının kurbanların bilgisayarlarına varsayılan dil ayarlarını sorduğunu ve eğer Rusça ise grubun diğer kurbanlara gittiğini belirtiyor. Ayrıca Ukraynaca, Gürcüce ve Belarusça konuşan mağdurlardan da kaçınıyor gibi görünüyor.

Kodu, sistemleri fidye yazılımı ile rehin tutmak için “hizmet olarak fidye yazılımı” sunan ilk kişiler arasında yer alan REvil tarafından kullanılanla çarpıcı benzerlikler taşıyor.

Şu anda Analyst1’in baş güvenlik stratejisti olan eski bir istihbarat topluluğu analisti olan Jon DiMaggio, “Bu, kendileri için işe girmek isteyen bir dalmış gibi görünüyor” dedi. “REvil’in koduna erişmek için, herkese açık olmadığı için ona sahip olmanız veya çalmanız gerekir. ”

DarkSide, REvil’in bilindiği sekiz rakamlı meblağlardan daha küçük fidye talepleri yapıyor – 200.000 ila 2 milyon dolar arasında. Bay DiMaggio, her fidye notuna benzersiz bir anahtar koyduğunu söyledi, bu da DarkSide’ın her kurbana saldırı düzenlediğini gösteriyor.

“Çoğu fidye yazılımı grubuna kıyasla çok seçicidirler,” dedi.