حوادث

عاجل| "DarkSide".. عصابة أذلت أكبر قوة على الأرض

الإثنين 10/مايو/2021 - 07:59 ص

أصدرت الحكومة الأمريكية تشريعًا طارئًا أمس الأحد بعد أن تعرض أكبر خط أنابيب للوقود في الولايات المتحدة الأمريكية لهجوم إلكتروني عبر برامج الفدية.

ينقل خط الأنابيب الاستعماري 2.5 مليون برميل يوميًا - 45٪ من إمدادات الساحل الشرقي من الديزل والبنزين ووقود الطائرات.

تم إيقاف الاتصال بالإنترنت تمامًا من قبل عصابة إجرامية إلكترونية يوم الجمعة وما زالت تعمل على استعادة الخدمة.

تتيح حالة الطوارئ نقل الوقود عن طريق البر

تم منح ما مجموعه 18 ولاية ساعات مؤقتة من التنازل عن الخدمة لنقل البنزين والديزل ووقود الطائرات وغيرها من المنتجات البترولية المكررة.

وهم ولايات ألاباما وأركنساس ومقاطعة كولومبيا وديلاوير وفلوريدا وجورجيا وكنتاكي ولويزيانا وماريلاند وميسيسيبي ونيوجيرسي ونيويورك وكارولينا الشمالية وبنسلفانيا وكارولينا الجنوبية وتينيسي وتكساس وفيرجينيا.

يقول الخبراء إن أسعار الوقود من المرجح أن ترتفع بنسبة 2-3٪ يوم الاثنين، لكن التأثير سيكون أسوأ بكثير إذا استمر لفترة أطول.

وقال غوراف شارما محلل سوق النفط المستقل لبي بي سي إن هناك الكثير من الوقود الذي تقطعت به السبل في مصافي التكرير في تكساس.

قال شارما: "ما لم يتم ترتيب الأمر بحلول يوم الثلاثاء ، فإنهم في ورطة كبيرة". "المناطق الأولى التي ستتأثر ستكون أتلانتا وتينيسي ، ثم يرتفع تأثير الدومينو إلى نيويورك."

وقال إن تجار العقود الآجلة للنفط "يتدافعون" الآن لتلبية الطلب، في وقت تتراجع فيه المخزونات الأمريكية، والطلب - خاصة على وقود المركبات - آخذ في الارتفاع مع عودة المستهلكين إلى الطرق ومحاولات الاقتصاد الأمريكي التخلص من آثار الوباء.

حذر شارما من أن الإعفاء المؤقت الصادر عن وزارة النقل يسمح بشحن المنتجات النفطية في ناقلات إلى نيويورك، لكن هذا لن يكون قريبًا بما يكفي لمطابقة سعة خط الأنابيب.

أكدت مصادر متعددة أن هجوم الفدية نتج عن عصابة إجرامية إلكترونية تسمى "DarkSide"، تسللت إلى شبكة :Colonial" يوم الخميس واحتجزت ما يقرب من 100 جيجابايت من البيانات كرهائن.

بعد الاستيلاء على البيانات، قام المتسللون بقفل البيانات على بعض أجهزة الكمبيوتر والخوادم، مطالبين بفدية يوم الجمعة. إذا لم يتم دفعها، فإنهم يهددون بتسريبها على الإنترنت.

وقالت كولونيال إنها تعمل مع سلطات إنفاذ القانون وخبراء الأمن السيبراني ووزارة الطاقة لاستعادة الخدمة.

وقالت مساء الأحد إنه على الرغم من أن خطوطها الرئيسية الأربعة لا تزال غير متصلة بالإنترنت ، إلا أن بعض الخطوط الجانبية الأصغر بين المحطات ونقاط التسليم تعمل الآن.

وقالت الشركة: "بعد وقت قصير من علمها بالهجوم، قامت شركة كولونيال بإيقاف بعض الأنظمة بشكل استباقي لاحتواء التهديد.

وقد أوقفت هذه الإجراءات مؤقتًا جميع عمليات خطوط الأنابيب وأثرت على بعض أنظمة تكنولوجيا المعلومات لدينا ، والتي نعمل بنشاط على استعادتها".

"نحن بصدد استعادة الخدمة للأطراف الجانبية الأخرى ولن نعيد تشغيل نظامنا بالكامل مرة أخرى إلا عندما نعتقد أنه من الآمن القيام بذلك ، مع الامتثال الكامل للموافقة على جميع اللوائح الفيدرالية."

في حين أن DarkSide ليست أكبر عصابة من هذا القبيل في هذا المجال، فإن الحادث يسلط الضوء على تزايد مخاطر برامج الفدية التي تشكلها على البنية التحتية الصناعية الوطنية المهمة ، وليس فقط الشركات.

كما يشير إلى ظهور نظام إيكولوجي إجرامي ماكر لتكنولوجيا المعلومات تبلغ قيمته عشرات الملايين من الجنيهات الاسترلينية ، وهذا لا يشبه أي شيء شهدته صناعة الأمن السيبراني من قبل.

بالإضافة إلى إشعار على شاشات أجهزة الكمبيوتر الخاصة بهم ، يتلقى ضحايا هجوم DarkSide حزمة معلومات تخبرهم أن أجهزة الكمبيوتر والخوادم الخاصة بهم مشفرة.

تسرد العصابة جميع أنواع البيانات التي سرقتها، وترسل إلى الضحايا عنوان URL لـ "صفحة التسريب الشخصية" حيث يتم تحميل البيانات بالفعل، في انتظار نشرها تلقائيًا، في حالة عدم قيام الشركة أو المؤسسة بالدفع قبل انتهاء الموعد النهائي.

وتخبر DarkSide الضحايا أيضًا أنها ستقدم دليلًا على البيانات التي حصلت عليها، وهي مستعدة لحذفها كلها من شبكة الضحية.

وفقًا لشركة "Digital Shadows"، وهي شركة للأمن السيبراني مقرها لندن تتعقب الجماعات الإجرامية الإلكترونية العالمية لمساعدة الشركات على الحد من تعرضها على الإنترنت، فإن DarkSide تعمل مثل الأعمال التجارية.

تقوم العصابة بتطوير البرامج المستخدمة لتشفير البيانات وسرقتها ، ثم تدرب "المنتسبين" ، الذين يتلقون مجموعة أدوات تحتوي على البرنامج ، ويطلب برنامج رانسومواري للقالب بريدًا إلكترونيًا ، والتدريب على كيفية تنفيذ الهجمات.

بعد ذلك، يدفع مجرمو الإنترنت التابعون لشركة DarkSide نسبة مئوية من أرباحهم من أي هجمات فدية ناجحة.

وعندما أصدرت برنامجًا جديدًا في مارس يمكنه تشفير البيانات بشكل أسرع من ذي قبل ، أصدرت العصابة بيانًا صحفيًا ودعت الصحفيين لإجراء مقابلات معها.

حتى أن العصابة لديها موقع ويب على الويب المظلم حيث تتفاخر بعملها بالتفصيل ، وتعرض جميع الشركات التي اخترقتها وما تم سرقته ، وصفحة "أخلاقيات" حيث تحدد المنظمات التي لن تهاجمها.

كما أنه يعمل مع "وسطاء الوصول" - المتسللون الشائنون الذين يعملون على حصد تفاصيل تسجيل الدخول لأكبر عدد ممكن من حسابات المستخدمين العاملة على الخدمات المختلفة التي يمكنهم العثور عليها.

بدلاً من اقتحام هذه الحسابات وتنبيه المستخدمين أو مزودي الخدمة ، يجلس هؤلاء الوسطاء على أسماء المستخدمين وكلمات المرور ويبيعونها لمقدمي العروض الأعلى - عصابات الإجرام الإلكتروني التي ترغب في استخدامها لتنفيذ جرائم أكبر بكثير.

كيف وقع الهجوم؟

تعتقد شركة Digital Shadows أن الهجوم السيبراني على خط الأنابيب الاستعماري قد حدث بسبب جائحة الفيروس التاجي - صعود المهندسين الذين يصلون عن بُعد إلى أنظمة التحكم لخط الأنابيب من المنزل.

يعتقد جيمس تشابيل، المؤسس المشارك وكبير مسؤولي الابتكار في Digital Shadows ، أن DarkSide اشترت تفاصيل تسجيل الدخول إلى الحساب المتعلقة ببرامج سطح المكتب البعيد مثل TeamViewer و Microsoft Remote Deskt.

ويقول إنه من الممكن لأي شخص أن يبحث عن بوابات تسجيل الدخول لأجهزة الكمبيوتر المتصلة بالإنترنت على محركات البحث مثل Shodan ، ومن ثم يواصل المتسللون الذين يستخدمون كلمة المرور "have a-go" محاولة استخدام أسماء المستخدمين وكلمات المرور حتى يحصلوا على بعضها للعمل.

قال تشابيل: "نرى الكثير من الضحايا الآن ، وهذه مشكلة كبيرة خطيرة الآن".

"كل يوم هناك ضحايا جدد. حجم الأعمال الصغيرة التي تقع ضحية لذلك - لقد أصبحت مشكلة كبيرة للاقتصاد العالمي."

وأضاف تشابيل أن أبحاث Digital Shadows أظهرت أن عصابة المجرمين السيبرانيين من المحتمل أن يكون مقرها في دولة ناطقة بالروسية، حيث يبدو أنها تتجنب مهاجمة الشركات في كومنولث الدول المستقلة - وهي منظمة لبلدان روسيا وأوكرانيا وبيلاروسيا ، جورجيا ، أرمينيا ، مولدوفا ، أذربيجان ، كازاخستان ، قيرغيزستان ، طاجيكستان ، تركمانستان وأوزبكستان.