Две крупные немецкие компании стали мишенью кибератак, за которыми стоят вымогатели. Гамбургское предприятие Oiltanking лишилось возможности заполнять топливом бензовозы, франкфуртская сервисная компания Wisag, чей профиль – обеспечение контроля и безопасности в аэропортах, а также уборка нежилых помещений, потеряла доступ к зарплатным ведомостям – без денег остались 55 тысяч сотрудников. Трудности Wisag были в основном бухгалтерского характера, их удалось решить, и зарплаты, пусть и с задержкой, всё-таки были зачислены.
Проблемы Oiltanking оказались серьёзнее. Эта фирма – один из крупнейших членов Объединения независимых топливохранилищ (UTV) Германии. Его участники обслуживают 108 нефтебаз, Oiltanking занимается 11 из них. Крупнейшие расположены в Гамбурге, остальные – вдоль Рейна, во Франкфурте, Гере и Берлине. После атаки хакеров во всех топливных хранилищах вышло из строя программное обеспечение (ПО), которое позволяет автоматически заполнять бензином и дизельным топливом грузовые прицепы с цистернами и другие ёмкости для транспортировки.
Нефтяные терминалы Oiltanking работают сейчас «с ограниченными возможностями». Хакерская атака произошла в конце января, компания объявила о чрезвычайной ситуации и резко сократила объёмы обслуживания клиентов. То же касается и родственной фирмы Mabanaft – обе принадлежат концерну Marquard & Bahls, где заняты 6200 сотрудников. Его оборот в 2020 году составил 10,5 млрд евро.
«В первую очередь проблемы касаются бензовозов», – поясняет управляющий директор UTV Франк Шапер (Frank Schaper). Процесс автоматического заполнения цистерн нарушен, а он широко распространён в отрасли, и быстро и эффективно перейти на работу в ручном режиме невозможно. Тем не менее Шапер гарантирует, что снабжение всей Германии минеральным топливом из-за проблем Oiltanking не нарушится. Членам его объединения пришлось изменить привычные цепочки логистики, но в основном это уже сделано – общие последствия не будут более драматичными, чем события лета 2018 года, когда значительно снизившийся уровень воды в Рейне привёл к остановке навигации и трудностям с поставками топлива. Один из крупнейших клиентов Oiltanking – сеть автозаправок Shell. Пресс-служба этой компании сообщила, что её проинформировали о хакерской атаке, а возможное негативное воздействие удалось нивелировать доставками по другим каналам. Сейчас снабжение топливом продолжается без перебоев, хотя проблемы временно затронули 233 АЗС в основном на севере Германии.
Когда точно и как произошло нападение, эксперты пока не установили. Тим Бергхоф (Tim Berghoff), пресс-секретарь бохумской компании G-Data, которая специализируется на вопросах кибербезопасности, считает, что речь идёт о программе-вымогателе или программе-шантажисте (специалисты называют их Ransomware). Этот тип зловредного ПО блокирует доступ к компьютерным системам целиком или к части сохранённых данных, а затем требует выкуп за восстановление исходного состояния. «Это классический подход, когда нужно быстро вывести из строя какую-либо фирменную сеть, – поясняет Бергхоф. – С такими проблемами мы сталкиваемся регулярно». Как правило, сумма выкупа, которую требуют вымогатели, – не самый значительный ущерб. Простой предприятия или неполноценные технологические процессы обходятся гораздо дороже.
Программа-вымогатель могла попасть в сеть Oiltanking разными способами. Обычно это письмо по электронной почте с вредоносным вложением, которое открывает кто-то из сотрудников, не подозревая ничего плохого. Не исключено, что система была поражена и через широко известные актуальные уязвимости компьютерных систем – библиотеку Log4j для языка программирования Java или систему обмена электронной почтой Exchange Server компании Microsoft. «Выпущены обновления, закрывшие пробелы в системах безопасности, – говорит пресс-секретарь G-Data, – но среди предприятий малого и среднего бизнеса есть те, которые пока откладывают их установку». Внутренняя документация Федерального ведомства по информационной безопасности (BSI) предполагает, что хакеры применили программу Black Cat («Чёрная кошка»), и раньше использовавшуюся для кибератак в США и Германии. Скорее всего, Black Cat – новая «торговая марка» программы-шантажиста BlackMatter, которая раньше называлась Darkside; это и название широко известной хакерской группировки, связанной с Россией. «Чёрная кошка» появилась в ноябре 2021 года. Создатели предлагают арендовать её всем желающим за 10−20% выручки.
Активность хакеров-вымогателей не ограничилась только Германией. Кибератаке подверглись операторы нефтеналивных терминалов в разных частях Европы, кроме Oiltanking пострадали ещё как минимум две компании, занимающиеся теми же видами деятельности – SEA-Invest в Бельгии и Evos в Нидерландах. Пока неясно, стоит ли говорить о скоординированном нападении с целью дестабилизировать европейский энергетический сектор. Не исключено, что через компьютерную сеть одного из операторов нефтеналивных терминалов вредоносное ПО проникло к коллегам. Все три компании – Oiltanking, SEA-Invest и Evos – пользуются одними и теми же программами.
Другой мишенью хакеров стала основанная в 1965 году во Франкфурте-на-Майне компания Wisag, занятая сортировкой и отправкой багажа в аэропортах Германии, а также уборкой промышленных, складских, торговых и офисных площадей. Вымогатели вышли на связь и потребовали выкуп, руководство обратилось в полицию. «Мы не поддаёмся на шантаж и не станем платить», – заявил председатель правления Wisag Михаэль Виссер (Michael Wisser). У компании десятки тысяч сотрудников в Германии, Австрии, Швейцарии, Люксембурге и Польше; злоумышленники смогли поразить систему учёта рабочего времени и начисления зарплат. Устранить трудности помогло обращение к резервным данным, но сейчас эксперты выясняют, доступ к каким сведениям и в каком объёме удалось получить вымогателям. Деятельность Oiltanking и Wisag никак между собой не связана. Вероятно, речь идёт о разных нападениях, совпавших по времени.
В мае 2021 года жертвой атаки хакеров, применивших Ransomware производства Darkside, стал крупнейший американский оператор трубопроводов Colonial Pipeline. Его усилиями на восточное побережье США поступает почти половина бензина, дизельного топлива и других нефтепродуктов. Нападение, признанное крупнейшей в истории кибератакой на критически важную инфраструктуру США, частично парализовало работу газопровода из Хьюстона в Нью-Джерси. Перебои с поставками спровоцировали ажиотажный спрос на топливо, президент Джо Байден (Joe Biden) провозгласил региональный режим чрезвычайной ситуации. 7 мая 2021 года компания Colonial Pipeline заплатила хакерской группировке Darkside 75 биткоинов (по курсу на то время это около 3,5 млн долларов). К середине мая снабжение восточного побережья топливом было восстановлено. Через месяц ФБР заявило об изъятии 63,5 биткоина со счёта для криптовалюты, на который ушёл перевод. Эксперты в области компьютерной безопасности предполагают, что потеря выкупа привела к «увольнению» команды разработчиков и переименованию нового продукта Darkside в «Чёрную кошку», которая и атаковала сейчас топливных операторов. Ранее нападениям хакеров подвергались многие другие немецкие компании, общественные организации и учреждения – от Университетской клиники Дюссельдорфа и ряда коммун до самого Бундестага.
Максим Смирнов
