Coraz więcej cyberataków na przemysł energetyczny


Hakerzy nie odpuszczają. Celują zarówno w płotki, czyli w użytkowników prywatnych, jak i w naprawdę grube ryby. Przykładem tego ostatniego mogą być ataki na przemysł energetyczny, w których chodzi nie tylko o zyski, ale również o szpiegowanie lub wywieranie nacisków politycznych. Najsłabszym ogniwem bezpieczeństwa firmowej sieci często bywają pracownicy, którzy padają ofiarą tzw. spear phishingu. Efektem działań cyberprzestępców może być utrata kontroli nad urządzeniami, a nierzadko również całkowity paraliż systemów.

Łakomym kąskiem dla cyberprzestępców, nierzadko powiązanych z rządami państw, jest infrastruktura krytyczna (ang. Critical Network Infrastructure, CNI). Stosowanym w przemyśle systemom sterowania oraz technologiom operacyjnyn (OT ) często brakuje takich zabezpieczeń jak protokoły bezpieczeństwa, ponieważ tego rodzaju rozwiązania powstały jeszcze przed upowszechnieniem się sieci. W efekcie pikujących cen paliwa sektor energetyczny często tnie wydatki i ogranicza się do korzystania z systemów i technologii, których aktualność pozostawia wiele do życzenia. Efektem tego jest osłabienie odporności na ataki oraz wydłużenie czasu potrzebnego na wykrycie cyberprzestępczej aktywności. Ostatnie lata pokazały, że przemysł energetyczny szczególnie często dotykają cztery metody ataków cyberprzestępców.

1. Złośliwe załączniki, czyli Operacja Sharpshooter

Sharpshooter to odkryty z końcem 2018 roku atak grupy Lazarus, prowadzącej działania cyberszpiegowskie m.in. na zlecenie władz Korei Północnej. Przestępcy przez Dropbox wysyłali pracownikom wiadomości z załączonymi złośliwymi dokumentami rekrutacyjnymi. Otworzenie pliku powodowało uruchomienie trojana umożliwiającego pobieranie informacji o urządzeniu i przechwytywanie plików. Poza kradzieżą poufnych danych atak stanowił prawdopodobnie okazję do rekonesansu przed kolejnym incydentem. Podobne metody stosowała grupa BlackEnergy, która w 2015 roku m.in. odcięła dostawy energii z kilku regionalnych spółek na Ukrainie oraz zaatakowała przedsiębiorstwo energetyczne w Polsce.

2. Metoda wodopoju grupy Dragonfly i Havexa

Grupa Dragonfly, łączona z rządem rosyjskim, od 2011 roku infekuje komputery organizacji m.in. z sektora energetycznego, jądrowego, wodnego i lotniczego. Przestępcy kierują pracownika na zainfekowaną stronę, np. dostawcy sprzętu lub usług IT. W ten sposób przechwytują dane dostępu do infrastruktury sieci i mogą prowadzić działania zarówno wywiadowcze, jak i sabotażowe. Podobnie działało oprogramowanie Havex, które umożliwiało twórcom zdalną kontrolę nad zainfekowanym urządzeniem i zakłócanie jego pracy. Przestępcy włamywali się na strony producentów, następnie podmieniali np. oryginalne sterowniki na zarażoną wersję i czekali, aż zostanie ściągnięta.

3. Sabotaż przez naśladowanie, czyli Triton/Trisis

Triton został po raz pierwszy wykorzystany do ataku na zakłady Samara, potentata chemicznego z Arabii Saudyjskiej. Oprogramowanie było ściśle ukierunkowane na stosowany w branży system zabezpieczeń Triconex. Atak nie był jednak związany z działaniami wywiadowczymi, celem było wyrządzenie materialnych szkód. Cyberprzestępcy dbali przede wszystkim o zamaskowanie swojej obecności – Triton naśladował procesy administracyjne, zmieniał nazwy plików na niewzbudzające podejrzeń, usuwał pobierane pliki i działał tylko w momentach bezczynności urządzeń . W efekcie mógł pozostawać niewykryty latami.

Przykład maila wykorzystującego phishing

fot. mat. prasowe

Przykład maila wykorzystującego phishing

Punktem dostępu do zakładowej sieci są często pracownicy, którzy padają ofiarami tzw. spear phishingu

4. Okup na żądanie

Jedną z najbardziej udanych kampanii ransomware był CryptoLocker, który w ciągu czterech miesięcy zainfekował ponad 250 tys. komputerów. W 2017 roku WannaCry przypisywany rządowi Korei Północnej obrał na cel m.in. jednego z największych na świecie producentów półprzewodników i procesorów, Taiwan Semiconductor Manufacturing Company. Kosztowało to firmę setki milionów dolarów. Ostatni przykład pochodzi sprzed zaledwie miesiąca, gdy zaszyfrowane zostały systemy norweskiego producenta aluminium Norsk Hydro.

– Przestępcom wystarczy jeden udany atak. Organizacje powinny prześledzić swoją politykę cyberbezpieczeństwa, ocenić ryzyko, zmierzyć zdolność do identyfikacji hakera w swoich sieciach i przede wszystkim – być zawsze w gotowości. Monitorowanie, ostrzeganie i reagowanie 24 godziny na dobę, 7 dni w tygodniu umożliwiają m.in. rozwiązania z zakresu detekcji i reakcji na zagrożenia (ang. Endpoint Detection & Response, EDR). Zespół IT organizacji może w standardowych godzinach pracy sprawdzać podejrzane incydenty, podczas gdy resztą zajmują się specjaliści ds. cyberbezpieczeństwa – tłumaczy Kamil Donarski, Analityk zagrożeń w F-Secure.

You have Successfully Subscribed!