Редица европейски компании, свързани с доставките на горива, са засегнати от мащабна кибератака в последните няколко дни. Разследващите органи смятат, че в събитието може да има политически нюанси, свързани с напрежението около Русия и Украйна.
Първа от всички бе ударена немската Oiltanking. Нейната ИТ инфраструктура беше срината още през почивните дни на миналата седмица. Всичките ѝ системи за товарене и разтоварване бяха блокирани.
Малко по-късно стана ясно, че освен Oiltanking в Германия потърпевши са и SEA-Invest в Белгия и Evos в Нидерландия. Засегната е една от най-големите европейски зони за търговия с горива, обхващаща линията Амстердам-Ротердам-Антверпен.
Форсмажорна ситуация
Както Oiltanking, така и Mabanaft декларираха „форсмажорна ситуация”. Извънредното положение за двете фирми означава, че те не са в състояние да изпълнят договорните си задължения към партньорските фирми заради непредвидената атака.
„Правим всичко възможно да разрешим проблема и да намалим въздействията, колкото се може по-бързо и по-ефективно”, декларираха двете фирми. Като следствие от този срив е забавена и затруднена работата на редица други компании, които разчитат на доставките на големите петролни фирми.
Атаката е „перфектен пример за това как кибератаките могат да наскочат щетите при целта си и да нарушат по-цялостната верига за доставки”, коментира Джеймс Кардър, главен директор по сигурността в LogRhythm. „В този случай дистрибуторът на петрол доставя гориво на 26 компании в Германия, включително Shell, която оперира над 1900 бензиностанции в страната”.
Белгийските прокурори са започнали разследване на хакването. В Германия прокурорите също работят с пълна сила. И в двете страни властите заявиха, че разследваната кибератака, насочена към петролните съоръжения, навярно е част от възможна рансъмуер акция, при която хакерите искат пари, за да възстановят съсипаните мрежи.
Цените на петрола достигнаха седемгодишен връх миналия месец. Сметките за отопление и ток нарастват и подхранват ръста на инфлацията, което притеснява европейските политици. В тази ситуация хакерската атака прави картината още по-напрегната. Това допълнително нагнетява напрежение на и без друго нажежения пазар.
За момента разследващите нямат яснота дали хакването е резултат от добре координирана цялостна атака или пък нападенията са съвсем отделни, без връзка помежду си.
Дежа-вю
Мнозина пазарни наблюдатели си припомниха случая от миналата година, когато голямата американска петролна корпорация Colonial Pipeline бе засегната от рансъмуер атака. Тогава много американски щати останаха лишени от доставки на горива в продължение на седмица, отбелязва ZDNet.
Проблемът се усети остро и от бизнесите, и непосредствeно от домакинствата. Засегнатата фирма плати откуп в размер на 4,4 милиона долара във вид на криптовалута.
Според някои експерти от сферата на киберсигурността, нещо подобно се случва и в момента в Европа. Все още е твърде рано да се правят заключения, категорични са специалистите. Те посочиха, че верижният срив на няколко корпорации от една и съща индустрия може да е, а може и да не е резултат от координирани хакерски действия.
„Някои видове злонамерен софтуер събират имейли и списъци с контакти и ги използват за автоматично спамване със злонамерени прикачени файлове или връзки. В резултат, компаниите със споделени ресурси понякога могат да бъдат засегнати скоро-скоро една подир друга”, коментира Брет Калоу, анализатор в компанията за киберсигурност Emsisoft. „Ето защо понякога виждаме секторни или географски „клъстери” от инциденти.”
Друго възможно обяснение може да е, че всички компании използват един и същ софтуер за оперативната си работа. Ако той е компрометиран от хакери, с лекота всички потребители на информационната система ще станат жертви.
Все пак наред с това не се изключва хипотезата за политическа роля на кибератаката. Нападението се случва в момент, в който напрежението около Русия и Украйна е натегнато до краен предел.
Черна котка?
Според немския вестник Handelsblatt, първоначалният анализ на германските служби за сигурност е идентифицирал рансъмуер системата BlackCat (в превод – черна котка) като инструмент, използван при кибератаката. Това е средство от типа „рансъмуер като услуга”, тоест софтуер, който се наема от кибер-изнудвачите.
BlackCat се появи в средата на ноември 2021 г. Това е софтуерен инструмент, който позволява на хакерите да завземат контрола върху целевите системи. Черната котка бързо придоби известност със своята сложност и множество вградени иновации.
Според американската фирма за киберсигурност PaloAlto, този рансъмуер инструмент „е по-доходоносен от своите конкуренти за хакерите, които го използват – другите платформи за рансъмуер обикновено взимат по-висока комисионна”.
Някои експерти отбелязват, че програмистите на BlackCat са използвали руски език, но тази улика може да бъде подвеждаща, тъй като хакерите често оставят фалшиви улики, за да прикрият следите си.
„Вероятно BlackCat е ребранд на BlackMatter, който сам по себе си беше ребранд на Darkside”, коментира Брет Калоу от Emsisoft. Darkside е рансъмуер групата, която срина Colonial Pipeline през май миналата година.