Colonial Pipeline, il ransomware attack che non dimenticheremo

Nessuno infatti immaginava che un servizio rilevante come il trasporto dei carburanti, fondamentale per le normali attività produttive, per i trasporti e per molte altre situazioni comuni potesse essere così impreparato a far fronte ad un attacco informatico.
Tanto meno era prevedibile che la risposta a questo attacco fosse tale da tracciare una divisione netta tra il prima e il dopo l’attacco al Colonial Pipeline.
Che cosa ha reso questo attacco tanto celebre? Chi si celava dietro una minaccia così mirata e per quale motivo ha deciso di attaccare un oleodotto così importante? Quali sono stati gli impatti sociali, economici, giuridici di questo fatto?
Scopriamolo insieme.

Chi è Colonial Pipeline

Colonial Pipeline è una società con sede in Georgia che gestisce 8850 chilometri di condutture per il trasposto di carburanti e altri prodotti derivati dal petrolio prodotti nelle raffinerie del Golfo del Messico. Parliamo della principale azienda fornitrice di prodotti petrolieri per tutta la costa est in USA. Alcuni dei suoi clienti più rinomati: lo stato di New York e l’aeroporto di Atalanta, il più trafficato al mondo.

L’attacco di cui è stata vittima a partire dal 6 Maggio del 2021 ha messo sotto scacco la rete di condutture che trasportava fino a 2 milioni e mezzo di barili di benzina (o derivati) ogni giorno. Non era la prima volta che la rete di oleodotti era costretta ad interrompere temporaneamente il servizio, sebbene non era mai stato necessario a causa di un attacco hacker.

Origine dell’attacco a Colonial Pipeline

Su quale sia stata la porta di accesso alle reti dell’oleodotto non ci sono dubbi.

Colonial Pipeline si serviva di un servizio di VPN per la connessione da remoto dei dipendenti. Grazie a questo servizio non adeguatamente protetto un gruppo di attaccanti ha potuto sfruttare la debolezza per subentrare nella rete dell’organizzazione. Infatti, uno degli account VPN attivo sebbene non più utilizzato è stato violato permettendo ai criminali di agire su tutta la rete.

La password necessaria per l’accesso alla VPN è stata acquistata dagli attaccanti probabilmente tra una lunga serie di informazioni rubate negli anni precedenti e resa disponibile sul dark web. Si presuppone che i criminali abbiano dovuto lavorare a lungo per individuare l’account da colpire che corrispondeva esattamene alla password rubata, ma una volta identificato: si è trattato di un gioco da ragazzi. Questo giustificherebbe i movimenti sospetti individuati a partire del mese precedente all’attacco informatico.
La vicenda non fa che rimarcare, ad esempio, l’importanza di implementare sistemi di autenticazione a più fattori per accedere ai punti più critici delle infrastrutture IT aziendali o addirittura, sistemi basati su dati biometrici. Sarebbe bastata questa precauzione o più in generale un approccio zero-trust, a rendere la vita degli hacker molto più difficile e forse, addirittura ad evitare l’attacco.

Scoperta dell’attacco ransomware

Il 7 Maggio, viene rilevata la minaccia.

L’attacco è stato rilevato quando il personale della Colonial Pipeline ha notato attività sospette e inusuali nei loro sistemi informatici. Hanno quindi avviato un’indagine e presto scoperto che si trattava di un attacco di ransomware.

• Mandiant, una società del settore della sicurezza informatica viene ingaggiata per analizzare e contrastare il ransomware.
• Le autorità vengono avvertite, incluso il presidente Joe Biden.
• Le condutture vengono messe offline per precauzione, in modo da contenere a minaccia.

I primi segnali della minaccia durante l’attacco alla Colonial Pipeline sono stati:

1. Il personale IT ha osservato accessi non autorizzati ai sistemi, il che indicava che qualcuno esterno stava cercando di ottenere l’accesso ai dati e ai sistemi dell’azienda.
2. Gli hacker hanno cercato di muoversi lateralmente all’interno della rete dell’azienda per accedere a ulteriori sistemi e dati sensibili. Questo tipo di movimento è spesso un segnale di un attacco in corso.
3. I dati all’interno dei sistemi dell’azienda erano stati cifrati dai criminali informatici, rendendoli inaccessibili al personale della Colonial Pipeline.
4. Gli hacker hanno lasciato un messaggio di riscatto sulle macchine infette, in cui chiedevano un pagamento in criptovaluta per la decifratura dei dati e la fine dell’attacco.

Le misure contenitive

Quando Colonial Pipeline si accorge dell’attacco ransomware, ha intrapreso diverse azioni per affrontare la situazione e mitigare i danni:

Interrompere le operazioni: infatti, Colonial Pipeline ha deciso di interrompere temporaneamente tutte le operazioni della pipeline. Questa decisione è stata presa per prevenire ulteriori danni ai sistemi e garantire la sicurezza delle infrastrutture critiche.

Inoltre, l’azienda ha isolato i sistemi informatici compromessi dal ransomware per evitare che il malware si diffondesse ad altre parti della rete. Inoltre, i reparti IT di Colonial Pipeline hanno avviato un’indagine interna per comprendere l’entità dell’attacco e identificare eventuali vulnerabilità che potrebbero essere state sfruttate dagli hacker.

L’azienda ha poi contattato le autorità competenti, tra cui il Federal Bureau of Investigation (FBI), il Department of Homeland Security (DHS) e altre agenzie governative, per informarle dell’attacco e collaborare per rispondere alla minaccia. Inoltre, l’azienda ha tenuto il pubblico informato sullo stato dell’attacco e delle operazioni attraverso comunicati stampa e aggiornamenti continui sui social media.

Dopo aver intrapreso tutte queste azioni, correttamente, Colonial Pipeline ha lavorato per ripristinare le operazioni il più rapidamente possibile e ha gradualmente ripreso la distribuzione di carburante attraverso il suo sistema di pipeline.

Sospetti di inizio di una guerra informatica

Lunedì 10 Maggio l’FBI conferma ufficialmente che gli autori dell’attacco erano degli affiliati del gruppo RaaS Russo DarkSide. Il sospetto che la matrice dell’attacco potesse essere politica. Infatti, un attacco ad un’infrastruttura così strategica da parte di un gruppo di criminali stranieri poteva essere interpretato come un attacco state sponsored. Insomma, poteva essere l’inizio di una cyberwar in piena regola.

A questo proposito è stata proprio la cybergang a fare un passo indietro dissociandosi dall’azione dell’affiliato.
In una nota pubblica il collettivo aveva fatto sapere che i suoi interessi erano esclusivamente finanziari, che non intendevano immischiarsi negli equilibri geopolitici mondiali e tantomeno creare problemi alla società.

Conseguenze sul mercato dei carburanti

Nonostante quotidiani come il Times, avessero accolto la notizia del fermo alle condutture del Colonial Pipeline immaginando che non ci sarebbero conseguenze evidenti, in 5 giorni i prezzi del carburante negli stati uniti sono saliti di 6 centesimi a gallone, raggiungendo il prezzo più alto dal 2014.
Le azioni delle società energetiche sono aumentate del 1.5%. La richiesta di benzina inoltre, è salita del 20% negli stati uniti e del 40% in alcuni altri stati a sud rispetto alla domanda del lunedì precedente. Un impatto significativo.

Conseguenze sociali dell’attacco Colonial Pipeline

Il 12 Maggio, a 6 giorni dall’inizio dell’attacco, alcune stazioni di rifornimento della costa meridionale ed orientale degli USA rimasero senza carburante. La situazione critica ha costretto il dipartimento dei trasporti ad emettere una dichiarazione di emergenza per 17 stati, autorizzando il trasporto di prodotti petroliferi tramite autopompe. Sono stati quindi ridotti gli orari di lavoro dei conducenti, per moderare i problemi legati all’approvvigionamento locale. Il Governatore della Georgia ha deciso di sospendere la tassa sul carburante per permettere agli utenti di fare il pieno ai loro veicoli con un prezzo agevolato.

Tempi di ripristino dell’infrastruttura

Dalla decisione di bloccare provvisoriamente la maggior parte delle linee del Colonial Pipeline, l’azienda ha dovuto destinare una gran parte delle risorse per il ripristino dei sistemi coadiuvata anche dalla collaborazione con degli enti governativi. Il 10 Maggio, 3 giorni dopo l’inizio dell’attacco, alcuni canali sono stati riaperti provvisoriamente per permettere il collegamento di alcune strutture a dei siti di approvvigionamento.

Un primo ampio riavvio è stato effettuato infine il 13 Maggio, ma per il vero e proprio ritorno alla normalità è stato necessario attendere ancora diversi giorni.

Intervento governativo

Data l’importanza dell’gasdotto si è verificata una stretta collaborazione tra l’azienda e il governo per permettere al servizio di tornare regolare in tempi rapidi ed in sicurezza. Il dipartimento dell’energia, quello per la sicurezza interna, quello della difesa, l’FBI e la CISA( Cybersecurity and Infrastructure Security agency) sono rimasti in prima linea, portando ad una risposta che si potrebbe definire federale all’attacco. La quale ha avuto anche molte conseguenze per la banda ransomware tra cui arresti e sequestri di server.

Conseguenze giudiziarie: un caso quasi unico

Nonostante l’FBI sconsigli solitamente il pagamento del riscatto, la colonia pipeline ha comunque deciso di sborsare 4,4 milioni di dollari nella speranza che gli hacker di DarkSide ritirassero il ransomware evitando di diffondere i dati esfiltrati. Il dipartimento di giustizia degli stati uniti ha iniziato una causa nei confronti di una società Californiana che offre servizi di portafoglio BitCoin al fine di recuperare parte della cifra. I dettagli dell’operazione non sono stati divulgati ma è noto che l’FBI sia riuscita ad ottenere la chiave privata del portafoglio dei cyber criminali riuscendo a recuperare 2,3 milioni di dollari.

Si tratta di un caso più unico che raro, normalmente infatti, il riscatto, una volta pagato è impossibile da recuperare. Questo successo però è indice del fatto che si stanno lentamente facendo progressi nella lotta ai criminali informatici e che informare le autorità tempestivamente può aiutare ad una risoluzione positiva dell’incidente.

Conseguenze sul futuro delle minacce

Si tratta di un unicum non solo per il tipo di target che è stato preso di mira, ma anche perché per la prima volta un governo ha deciso di respingerlo attingendo a tutte le risorse possibili. Fino a quel momento le risposte politiche ai crimini informatici erano state sempre moderate, al limite della tolleranza.

Dopo l’attacco al Colonial Pipeline la situazione si è modificata:

• E’ cresciuta rapidamente l’attenzione nei confronti delle difese informatiche delle infrastrutture strategiche
• Sono state emanate leggi e direttive specifiche
• E’ stata rimossa l’aurea di invincibilità dalle gang ransomware
• Molti gruppi ransomware si sono dati dei regolamenti che prevedono dei controlli per evitare che ad essere prese di mira siano istituzioni sanitarie o strutture critiche con rilevanti impatti sociali.

Conclusioni

L’attacco subito dal Colonial Pipeline è stato un caso clamoroso che ha avuto conseguenze in praticamente qualsiasi ambito: dal mercato dei prodotti petroliferi, alla vita quotidiana di molti americani, ha portato ad arresti, ad un azione incredibile di recupero del capitale estorto e alla promulgazione di nuove leggi ad-hoc oltre che, ha contribuito ad accrescere i livelli di allerta di tutti i paese del mondo per quello che riguarda gli attacchi alle infrastrutture nazionali critiche. Più di tutti ha anche portato alla consapevolezza che un attacco mirato e ben riuscito può mettere in ginocchio un intera nazione.

Di sicuro il cybercrime non si è estinto in seguito alla risposta governativa al ransomware di Darkside ma con la risoluzione di questo incidente si visto che la collaborazione tra le diverse strutture può portare ad azioni di contrasto davvero efficaci.

Sicurezza delle grandi organizzazioni, si può fare?

In conclusione, l’attacco di ransomware alla Colonial Pipeline è un chiaro esempio di quanto le infrastrutture critiche siano vulnerabili a minacce informatiche sempre più sofisticate. Questo evento sottolinea l’importanza di implementare misure di sicurezza efficaci e di mantenere una strategia di difesa proattiva.

È fondamentale che i reparti IT delle organizzazioni prendano seriamente la sicurezza informatica e collaborino con team di specialisti esterni in grado di garantire la sicurezza delle loro infrastrutture critiche. Affiancarsi a esperti di cybersecurity permette di beneficiare della loro esperienza e competenza, ricevendo consulenza su come affrontare minacce emergenti e identificare vulnerabilità prima che vengano sfruttate dagli aggressori.