Нападение в интересах РФ: кто стоит за кибератакой на критическую инфраструктуру США
Кібератака на найбільшу в Північній Америці систему продуктопроводів Colonial Pipeline 6-7 травня стала однією з найуспішніших акцій проти критичної інфраструктури США.
І це зовсім не перебільшення. Colonial Pipeline забезпечує до 45% потреб сходу США у рідкому паливі. Ці дві магістральні труби діаметром 1000 мм та 910 мм йдуть від Техасу на півдні США до Нью-Джерсі на півночі через увесь американський схід. Одна використовується для транспортування різних бензинів, інша – дизелю, авіаційного гасу та інших різновидів пального, до 20 сортів.
Щоправда, до значних втрат справа не дійшла. За словами радниці американського президента з питань внутрішньої безпеки Елізабет Шервуд-Рендал, сам продуктопровід не постраждав і його використання може бути швидко поновлено. Тож ситуація так і не створила дефіциту пального.
Разом із тим кібератака поставила ряд важливих питань. Хто стоїть за цією атакою? Яку мету вона переслідувала?
І до чого варто бути готовими у майбутньому? І тому числі – й Україні.
Хто стоїть за DarkSide?
Відповідальність за скоєне вже взяли на себе хакери з організації DarkSide. Вони навіть вибачились за інцидент, заявивши, що не прагнули викликати хаос, а тільки хотіли заробити грошей.
Проте це не знімає з порядку денного питання, чи не стоїть за кібератакою РФ?
Звісно, що за нинішньої репутації Росії на неї вішатимуть усіх собак у випадку будь-яких інцидентів. Але так само відомі й усі "аргументи", які звучать з Москви у таких випадках – "ихтамнет" та "авидокажитє".
Кремль у відповідь на підозри у його зловмисних діях заявив про свою непричетність до кібератаки. Важливіше те, що причетність росіян не підтвердив і президент Джо Байден.
Понад те, питання лишаються. І справа далеко не в тім, що протягом кількох днів неможливо досконально все з’ясувати і зробити остаточні висновки. Зазвичай на це йдуть місяці.
Заспокійливі заяви дещо дисонували з оголошенням президентом Байденом стану надзвичайної ситуації у низці східних штатів.
Зокрема, такий стан було запроваджено у Техасі, Флориді, Нью-Йорку та Пенсильванії.
Вочевидь, це пояснюється тим, що ніхто не був впевнений у тому, чи не послідують якісь наступні дії хакерів і чи не стане становище ще серйознішим.
Не виключено, що президент США не хоче допустити зриву саміту з володарем Кремля. А у разі віднайдення російського сліду така зустріч просто була би неможливою.
Тож не можна виключити, що докази російського втручання будуть оприлюднені вже згодом.
Попередження для США?
Хто ще зацікавлений у такій атаці на США? Коло потенційних "підозрюваних" не таке вже й широке. Це традиційні супротивники США: Північна Корея, Іран, Китай та Росія.
Саме до цих країн ведуть сліди деструктивної кіберактивності як їхніх спецслужб, так і низки хакерських організацій, які виглядають недержавними, а насправді є типовими проксіз.
Зовсім необов’язково світити кіберпідрозділ спецслужби в ході тої чи іншої операції. Для цього і створюються "незалежні" хакерські організації, в тому числі ті, які займаються "криміналом" - вимаганням грошей задля створення певної репутації.
Це приблизно так само, як ПВК Вагнера – воюють нібито приватні особи, але завжди у великодержавних інтересах Кремля.
Взагалі випадок з Colonial Pipeline слід аналізувати та осмислювати не тільки і не стільки в кіберплощині. Хакерські атаки - лише інструмент в досягненні певних цілей, у тому числі, замаскованих під кіберактивність кримінального характеру – банальне вимагання грошей.
Потрібно поглянути на те, що було би, якби операція вдалася повністю. Відповідь на це запитання є. І не в теоретичній, а в практичній площині.
7 серпня 2008 року на нафтопроводі Баку – Тбілісі – Джейхан (БТД), на його турецькому відтинку поблизу містечка Рефахія стався вибух з розливом нафти та її послідуючим горінням. Відповідальність на себе взяли бойовики Робітничої партії Курдистану (РПК), що ведуть на сході країни збройну боротьбу проти центрального уряду Туреччини. Функціонування нафтопроводу було відновлено 25 серпня.
Про аварію забули. І лише у грудні 2014 (!) року, тобто через шість з гаком років після інциденту, було оприлюднено медіаверсію звіту про інцидент.
З’ясувалося, що 6 серпня 2008 року відбулось кіберпроникнення в систему SCADA (Supervisory Control and Data Acquisition) нафтопроводу БТД. Вона забезпечує інтегрований операторський контроль за процесом транспортування нафти в трубопроводі в реальному часі.
Зловмисники перемкнули систему в режим стороннього управління непомітно для диспетчерського центру, перекрили трубопровід аварійною засувкою при продовженні роботи помпувальної станції. Відбулося нарощування тиску у внутрішній порожнині труби до закритичних режимів і через кілька годин вже 7 серпня це спричинило вибухову руйнацію нафтопроводу.
При цьому диспетчерський центр побачив аварію лише за 40 хвилин після вибуху – до того монітори відображали інформацію попереднього періоду про нормальний режим роботи.
У медіазвіті про причини аварії на БТД йшлося про припущення, що російський уряд або спонсоровані ним організовані актори могли бути причетними до інциденту, однак немає остаточних доказів, які б відносили нападників до конкретних приватних осіб чи організацій.
Питання, чи могли бойовики РПК підготувати та виконати таку операцію самостійно без принаймі консультативного сприяння з чийогось боку, залишилось відкритим.
Оскільки у часі інцидент збігся з початком російського вторгнення в Грузію, то цей випадок був так чи інакше протрактований як своєрідний меседж Москви Заходу щодо невтручання у конфлікт з Грузією на стороні Тбілісі, оскільки конкурентна російському маршруту стратегічна нафтова магістраль з Каспію на середземноморський ринок може в будь-який момент взята під контроль Росії.
Російська причетність до підриву магістралі не була доведена, адже відповідальність взяла на себе РПК, яка традиційно вдається до різноманітних диверсійних та терористичних актів.
Кібер-Вагнер
Якщо зробити проєкцію події 2008 року з БТД на випадок з Colonial Pipeline, то зрозуміло, що сценарій міг би бути зовсім іншим, аніж просто вимушена зупинка прокачування нафтопродуктів.
Адже 7 травня не було відомо, яку саме інформацію було викрадено хакерами і що з її допомогою ще могли зробити зловмисники, окрім вимагання грошей.
Тож не можна виключити, що така спецоперація "в лайт-формі" могла бути зондажем невідомим замовником реакції та дій США з подолання наслідків кібератаки у виконанні DarkSide.
Якщо взяти до уваги, що Путін нещодавно 21 квітня у посланні своїм федеральним зборам лякав США "асиметричною, швидкою і жорсткою" відповіддю на "утиски Росії", то ось це і могла бути демонстрація такої дії.
До усього іншого, ще слід взяти до уваги і затримання американським крейсером "Монтерей" 6-7 травня в Аравійському морі судна без розпізнавальних знаків з вантажем російської та китайської зброї для єменських хуситів.
Хусити – це проксіз Ірану для підривної діяльності проти головного союзника США в регіоні Саудівської Аравії. США та Саудівська Аравія – два з трьох головних плеймейкерів глобального ринку нафти та нафтопродуктів. Третій – Росія.
Для Росії та Ірану конче важливим є довготривалі високі ціни на нафту. Їх можна досягти через дестабілізацію двох основних гравців та серйозні збої в функціонуванні їхніх секторів нафти та нафтопродуктів.
Тому Москва та Тегеран працюють в чотири руки проти Саудівської Аравії та США.
Зокрема, Іран докладає зусиль на саудівському напрямку. І тут варто згадати потужні повітряні атаки на саудівську нафтову інфраструктуру – 14 вересня 2019 року на найбільший у світі нафтопереробний комплекс Абкайк та 7 березня 2021 року на найбільший у світі нафтовий термінал Рас-Танура.
Іран діє жорсткою силою, через єменських проксіз, надаючи їм БПЛА та крилаті і балістичні ракети. Атака у 2019 році одномоментно позбавила світовий нафтовий ринок 5% сировини, що викликало стрибок цін та його дестабілізацію. У випадку з Colonial Pipeline ринок теж відреагував.
Росія діє на американському напрямку. Діє більш витончено, високотехнологічно, але використовуючи ту ж саму схему – через проксіз, однак надаючи перевагу акціям у кіберпросторі.
Не можна виключати, що кіберпроникнення в Colonial Pipeline стало можливим після минулорічної масованої атаки на SolarWinds, де російський слід був дуже помітним.
Тому тільки на перший погляд атаки на саудівську критичну інфраструктуру та американський Colonial Pipeline ніяк не пов’язані між собою, ще й рознесені в часі.
І Росія, й Іран вишукують вразливості критичної нафтової інфраструктури США і Саудівської Аравії та опрацьовують алгоритми проведення спецоперацій на майбутнє з можливою синхронізацією їх задля отримання синергетичного ефекту довготривалої дестабілізації світового нафтового ринку.
Тож є всі підстави вважати, що хакерська група DarkSide, що здійснила успішну атаку на Colonial Pipeline, є прикриттям для російсько-іранської кооперації з глобальної дестабілізації нафтового ринку.
* * * * *
Звіт з результатами розслідування про те, що насправді відбулось з Colonial Pipeline і чим це загрожувало, швидше за все, буде нескоро. Можливо, лише за кілька років.
Насамкінець цікавий штрих. У Петербурзі "Газпром" веде набір IT-фахівців у новий підрозділ. Під нього відведено цілий поверх у "Лахта-центрі".
Відбір ведеться через посередників. Підрозділ нібито має працювати над софтом для "Газпрому". Виглядає правдоподібно з урахуванням введення в РФ закону про софт.
Але існує й інша версія: це новий підрозділ "кухаря Путіна" Пригожина – своєрідний кібер-Вагнер. Отже, продовження буде…
На тлі американських подій, в Україні не просто слід подумати над захистом нашої критичної інфраструктури, передусім енергетичної. Необхідно діяти. Тим більше, що вона вже була атакована кілька разів у минулі роки.
Але навіть законопроєкт "Про критичну інфраструктуру та її захист" на восьмому році російської агресії проти України усе ще залишається проєктом.
Автор: Михайло Гончар,
президент Центру глобалістики "Стратегія ХХІ"