Kroz Colonial Pipeline, najveći američki sustav cjevovoda za rafinirane proizvode, obično dnevno prolazi oko tri milijuna barela benzina, dizela i mlaznog goriva dnevno. No cijeli je taj sustav pao prošli tjedan nakon napada grupe samozvanim kibernetičkih Robina Hooda, udruženih u hakersku organizaciju DarkSide. 

Ruske vlasti (ne) stoje iza napada 

Glavnim krivcima odmah je proglašena Rusija, mada je američki predsjednik Joe Biden na brifingu za novinare jasno rekao da zasad nema dokaza koji bi ukazivali na to da je Rusija bila umiješana u napad. No to ne znači da se o ovom, i nekim drugim napadima neće raspravljati na planiranom skorom sastanku Bidena s ruskim predsjednikom Vladimirom Putinom. 

U međuvremenu je američki Colonial obavijestio javnost kako se dijelovi cjevovoda postupno vraćaju u funkciju, kao i da bi cijeli sustav mogao proraditi do kraja tjedna. S druge strane, dužnosnici Bijele kuće priznali su kako FBI intenzivno istražuje ransomware DarkSide još od listopada prošle godine.

"Riječ je o ransomwareu kao varijanti usluge, u kojoj udruženi kriminalci izvode napade, a zatim prihod dijele s programerima ransomwarea", objašnjavala je novinarima zamjenica savjetnice za nacionalnu sigurnost Anne Neuberger. Ona je odbila odgovoriti na pitanje je li Colonial platio otkupninu, ustvrdivši da je riječ o privatnoj tvrtki i da im Bijela kuća prepušta da sami donesu tu "vrlo tešku" odluku. 

FBI je rekao da će u istrazi i dalje usko surađivati ​​i s Colonialom i s vladinim partnerima. Najvažnije je, rekla je savjetnica za domovinsku sigurnost Bijele kuće Elizabeth Sherwood-Randall, da trenutno ne prijeti nestašica zaliha goriva. 

Sve skupa jako podsjeća na događaj iz veljače prošle godine, kada je i naša INA bila pod sličnima napadom, a pri rješavanju problema i tada se uključio FBI.

Apolitična skupina?

Energetska analitičarka Amy Myers Jaffe rekla je pak za Politico da je ovo hakiranje bilo dosad najznačajniji i najuspješniji poznati napad na energetsku infrastrukturu u SAD-u. 

Oglasio se i sam DarkSide, koji je u svojoj izjavi naglasio da je riječ o apolitičnoj skupini, koja ne sudjeluje geopolitici i zbog toga ih ne treba vezati za neku vladu i tu tražiti njihove motive:

"Cilj nam je zaraditi novac, a ne stvarati probleme društvu. Od danas uvodimo moderiranje i provjeravamo svaku tvrtku koju naši partneri žele šifrirati kako bi se izbjegle socijalne posljedice u budućnosti", napisali su tajanstveni ljudi iz DarkSidea.

DarkSideov poslovni model

DarkSide je relativno nova hakerska skupina, ali analitičari kibernetičke sigurnosti već znaju dovoljno o njima da bi utvrdili koliko su opasni. Prema bostonskom Cybereasonu, riječ je o organiziranoj skupini hakera koji se drže poslovnog modela "ransomware as a service".

To znači da DarkSideovi hakeri razvijaju i plasiraju ransomware alate za hakiranje i prodaju ih drugim kriminalcima koji potom napadaju svoje ciljeve. Oni su nešto poput zlih blizanaca uspješnih softveraša iz Silicijske doline.

U Cybereasonu upozoravaju da se DarkSide voli predstavljati kao etično društvo; oni čak imaju vlastiti kodeks ponašanja za svoje kupce u kojem se spominje koje je ciljeve prihvatljivo napadati.

U organizacije pod njihovom "zaštitom", koje se ne bi smjelo dirati, spadaju tako bolnice, hospiciji, škole, sveučilišta, neprofitne organizacije i neke vladine agencije. Također su očito zaštićeni svi entiteti sa sjedištem u bivšim sovjetskim republikama. Kao poželjne mete napada ostaju dakle sve profitne tvrtke u zemljama engleskog govornog područja. 

Varonis pak upozorava kako DarkSideov zlonamjerni softver provjerava postavke jezika uređaja kako bi siguran da meta napada nije neka ruska organizacija. Također je poznato da na forumima koriste ruski jezik i aktivno regrutiraju partnere koji govore ruski.

U opasnosti i Windows i Linux

Grupa koristi skupove alata za  Windows i Linux operativne sustave. Slično kao NetWalker i REvil, DarkSide svima koji pomažu u širenju njihovog zlonamjernog softvera nudi 10-25%  od zarađenog ucjenom. Oni dio svoje dobiti doniraju u humanitarne svrhe, o čemu je svojedobno pisao i Bug, mada su neke dobrotvorne organizacije već odbile primiti njihov novac. 

"Bez obzira na to koliko mislite da je naš posao loš, drago nam je znati da smo pomogli promijeniti nečiji život", napisali su hakeri. "Danas smo poslali prve donacije."

Cybereason tvrdi da je grupa visoko profesionalna i nudi službu za pomoć klijentima. Održavaju i stranicu "DarkSide Leaks", napravljenu po uzoru na WikiLeaks, na kojoj hakeri objavljuju ukradene podatke o hakiranim tvrtkama. Dosad su procurili podaci o četrdesetak žrtava napada.  

Dvostruka iznuda

Oni provode "dvostruku iznudu". To znači da hakeri šifriraju i zaključavaju žrtvine podatke, ali te podatke istovremeno i kradu uz prijetnju da će ih objaviti na DarkSide Leaksu ako tvrtke ne plate otkupninu. Tipični zahtjevi za otkupninom kreću se od 200.000 do 20 milijuna dolara. 

Opasnost se širi i sve je veća, a u Cybereasonu tvrde da su hakeri nedavno objavili i novu verziju svog zlonamjernog softvera: DarkSide 2.0.