Эксперты американской фирмы по кибербезопасности Mandiant и чиновники в Техасе заявили, что в январе местная система водоснабжения в городе Панхандл (Panhandle) и водонапорная башня в Мьюлшу (Muleshoe) подверглись атаке российских хакеров.

Вторжение в компьютерную систему в небольшом городе Мьюлшу населением 5 тысяч человек недалеко от границы с Нью-Мексико привело к переполнению резервуара водяной насосной станции. Вода переливалась более получаса, пока сотрудники станции не перешли на ручное управление. Проблема не привела к перебоям водоснабжения.

В Mandiant сообщили, что в тот же день в Telegram-канале «Cyber Army of Russia Reborn» (CARR) появилось видео, где демонстрировалось вторжение в компьютеры в Мьюлшу.

Ранее хакерская группа проводила DDoS-атаки на украинские организации и государственные учреждения.

Газета The Washington Post также сообщила, что хакеры разместили в Telegram видео, демонстрирующее манипуляции с системами водоснабжения в городе и близлежащем населенном пункте, демонстрируя, как они взломали их и сбросили настройки. Хакеры называли себя членами CARR.

«Мы начинаем очередной рейд на Соединенные Штаты», гласила подпись к видео на русском языке.

Городской менеджер Мьюлшу Рамон Санчес заявил, что хакеры получили доступ к системе управления водопроводом, используя пароль, который не менялся более десяти лет. Тот же пароль был также использован поставщиком в двух других городах региона, которые стали мишенью хакеров.

Компания по кибербезопасности Mandiant заявила, что атака, скорее всего, была осуществлена группой «Песчаный червь» (Sandworm), которой якобы руководит российское Главное разведывательное управление (ГРУ). Они при этом отметили, что не уверены, что в ГРУ руководили атакой в Техасе. В прошлом «Песчаный червь» была причастна к ряду кибератак, включая нарушение работы электросети в Украине, взлом Олимпийских игр в Южной Корее в 2018 году и проведение фишинговых кампаний, нацеленных на президентские выборы во Франции в 2017 году.

Помимо резервуара в Мьюлшу одновременным кибератакам подверглась аналогичная инфраструктура в двух других городах на севере Техаса: Локни (Lockney) и Хейл-Сентер (Hale Center), сообщили местные чиновники. Там, однако, успели заметить проблемы до того, как они вышли из-под контроля.

Власти заявили, что атаки велись из-за рубежа, но не сообщили откуда. Расследованием инцидентов занимаются в Федеральном бюро расследований.

Mandiant также отметила, что хакеры использовали аккаунты YouTube, созданные на серверах, связанных с группой «Песчаный червь», для публикации видео. Вдобавок хакеры разместили украденные данные украинского правительства в своих аккаунтах в социальных сетях. Соединенные Штаты обвинили шестерых сотрудников российской разведки в причастности к хакерской атаке на президентские выборы в США в 2020 году, а также к созданию программы-вымогателя NetPetya и вмешательству в президентские выборы в США в 2016 году.

Это не первый случай, когда объект водоснабжения страны становится мишенью.

Стоит напомнить, что в прошлом году кибератаке подверглась система водоснабжения в штате Пенсильвания, но тогда за ней стоял Иран. На оборудовании местной станции появились антиизраильские сообщения.

В марте Белый дом и Агентство по охране окружающей среды (EPA) издали совместное предупреждение губернаторам штатов о кибератаках на системы водоснабжения и канализации в стране. Глава EPA Майкл Риган и советник президента по национальной безопасности Джейк Салливан отметили в письме, что у систем в штатах нет даже минимальных систем предосторожности на случай взлома хакерами.

Ранее сообщалось, что Министерство юстиции заочно предъявило обвинение семерым хакерам из Китая, которые внедрялись в компьютеры западных чиновников различного уровня.

Далее, в марте хакеры опубликовали видео доступа, как утверждается, пульта управления электростанции во французском Курлон-сюр-Йонна в ста километрах от Парижа. Ролик был опубликован сразу после заявления президента Франции Эммануэля Макрона о готовности отправить французских военных в Украину. Утверждалось, что в результате атаки в плотине был понижен уровень воды и остановлена выработка электроэнергии. Журналу Wired не удалось подтвердить или опровергнуть эти заявления.

В январе взломщики показали запись с экрана саботажа на очистных сооружениях в селе Выдмины на северо-востоке Польши. На записи хакеры переключают тумблеры на виртуальной панели управления канализацией под саундтрек видеоигры Super Mario Bros. Такие переключения не должны были повлиять на работу объекта.

Но, самая масштабная хакерская атака в недавнем прошлом остановила крупнейший трубопровод в стране.

Напомним, в 2021 году Министерство транспорта объявило чрезвычайное положение в нескольких штатах из-за остановки крупнейшего трубопровода Colonial Pipeline после кибератаки. Источники информагентств связывают стоявшую за нападением группировку DarkSide с хакерским сообществом стран бывшего Советского Союза.

По нефтепроводу Colonial Pipeline ежедневно транспортировалось 2,5 млн баррелей нефтепродуктов, обеспечивая почти половину потребностей Восточного побережья в дизеле, бензине и авиационном топливе.

Трубопровод полностью остановился из-за кибератаки. Ответственность за нападение взяла на себя группировка DarkSide. Аналитики считают, что она может состоять из русскоязычных хакеров.

Случившееся с трубопроводом Colonial – это пример кибератаки Ransomware, то есть программы-вымогателя, нацеленной не просто против бизнеса, а на важный для страны элемент инфраструктуры.

Для этого преступники использовали беспрецедентно масштабную компьютерную систему стоимостью десятки миллионов долларов. Такого в индустрии кибербезопасности не видели еще никогда, а с чем-то новым трудно бороться. 

Во время нападения DarkSide отправило на экраны компьютеров своих жертв сообщения о том, что их данные похищены. Им также отправили информационный пакет, в котором хакеры перечисляют, какими именно файлами им удалось завладеть, и сообщают, что теперь они зашифрованы.

При этом преступники также указывают адрес заранее созданной интернет-страницы, на которой выложена украденная информация, в случае если жертвы не заплатят выкуп в нужный срок, эта страница будет автоматически опубликована. Кроме того, хакеры обещают опубликовать доказательства подлинности похищенной информации и более того, удалить эти файлы из сети жертв нападения.

По данным лондонской компании по кибербезопасности Digital Shadows, хакерская группа DarkSide действует по принципу бизнес-сообщества. Группировка сама разрабатывает программы для шифрования и хищения данных, а потом проводит обучение сообщников, которые получают набор инструментов, собственно, хакерскую программу, шаблон письма с требованиями, а также инструкции о том, как правильно проводить атаки. Затем сообщники делятся с DarkSide частью выручки от успешных атак.