Według raportu F-Secure[1] celem atakujących sektor energetyczny są nie tylko zyski, ale też działania o charakterze szpiegowskim czy wywieranie nacisków politycznych. Punktem dostępu do zakładowej sieci są często pracownicy, którzy padają ofiarami tzw. spear phishingu[2]. Efektem może być zablokowanie kontroli nad urządzeniami, a nawet całkowity paraliż systemów.
Celem przestępców, często powiązanych z rządami państw, jest infrastruktura krytyczna (ang. Critical Network Infrastructure, CNI). W przemysłowych systemach sterowania oraz technologiach operacyjnych (OT[3]) nie zostały zaimplementowane odpowiednie protokoły bezpieczeństwa, gdyż tego typu rozwiązania powstały jeszcze przed popularyzacją internetu. Ze względu na spadki cen paliwa sektor energetyczny ogranicza wydatki i korzysta często z nieaktualnych systemów oraz technologii. Osłabia to odporność na ataki i wydłuża czas ich wykrywania. W ostatnich kilku latach szczególnie wyróżniły się cztery metody ataków cyberprzestępców na branżę energetyczną[4].
- Złośliwe załączniki, czyli Operacja Sharpshooter
Sharpshooter to odkryty z końcem 2018 roku atak grupy Lazarus, prowadzącej działania cyberszpiegowskie m.in. na zlecenie władz Korei Północnej[5]. Przestępcy przez Dropbox wysyłali pracownikom wiadomości z załączonymi złośliwymi dokumentami rekrutacyjnymi. Otworzenie pliku powodowało uruchomienie trojana umożliwiającego pobieranie informacji o urządzeniu i przechwytywanie plików[6]. Poza kradzieżą poufnych danych atak stanowił prawdopodobnie okazję do rekonesansu przed kolejnym incydentem. Podobne metody stosowała grupa BlackEnergy, która w 2015 roku m.in. odcięła dostawy energii z kilku regionalnych spółek na Ukrainie oraz zaatakowała przedsiębiorstwo energetyczne w Polsce[7].
Przykład maila wykorzystującego phishing.
-
Metoda wodopoju grupy Dragonfly i Havexa
Grupa Dragonfly, łączona z rządem rosyjskim, od 2011 roku infekuje komputery organizacji m.in. z sektora energetycznego, jądrowego, wodnego i lotniczego. Przestępcy kierują pracownika na zainfekowaną stronę, np. dostawcy sprzętu lub usług IT. W ten sposób przechwytują dane dostępu do infrastruktury sieci i mogą prowadzić działania zarówno wywiadowcze, jak i sabotażowe. Podobnie działało oprogramowanie Havex, które umożliwiało twórcom zdalną kontrolę nad zainfekowanym urządzeniem i zakłócanie jego pracy. Przestępcy włamywali się na strony producentów, następnie podmieniali np. oryginalne sterowniki na zarażoną wersję i czekali, aż zostanie ściągnięta.
- Sabotaż przez naśladowanie, czyli Triton/Trisis
Triton został po raz pierwszy wykorzystany do ataku na zakłady Samara, potentata chemicznego z Arabii Saudyjskiej. Oprogramowanie było ściśle ukierunkowane na stosowany w branży system zabezpieczeń Triconex[8]. Atak nie był jednak związany z działaniami wywiadowczymi, celem było wyrządzenie materialnych szkód. Cyberprzestępcy dbali przede wszystkim o zamaskowanie swojej obecności – Triton naśladował procesy administracyjne, zmieniał nazwy plików na niewzbudzające podejrzeń, usuwał pobierane pliki i działał tylko w momentach bezczynności urządzeń[9]. W efekcie mógł pozostawać niewykryty latami.
- Okup na żądanie
Jedną z najbardziej udanych kampanii ransomware[10] był CryptoLocker, który w ciągu czterech miesięcy zainfekował ponad 250 tys. komputerów. W 2017 roku WannaCry przypisywany rządowi Korei Północnej obrał na cel m.in. jednego z największych na świecie producentów półprzewodników i procesorów, Taiwan Semiconductor Manufacturing Company. Kosztowało to firmę setki milionów dolarów. Ostatni przykład pochodzi sprzed zaledwie miesiąca, gdy zaszyfrowane zostały systemy norweskiego producenta aluminium Norsk Hydro.
– Przestępcom wystarczy jeden udany atak. Organizacje powinny prześledzić swoją politykę cyberbezpieczeństwa, ocenić ryzyko, zmierzyć zdolność do identyfikacji hakera w swoich sieciach i przede wszystkim – być zawsze w gotowości. Monitorowanie, ostrzeganie i reagowanie 24 godziny na dobę, 7 dni w tygodniu umożliwiają m.in. rozwiązania z zakresu detekcji i reakcji na zagrożenia (ang. Endpoint Detection & Response, EDR). Zespół IT organizacji może w standardowych godzinach pracy sprawdzać podejrzane incydenty, podczas gdy resztą zajmują się specjaliści ds. cyberbezpieczeństwa – tłumaczy Kamil Donarski, Analityk zagrożeń w F-Secure.
[1] Raport F-Secure The state of the station. A report on attackers in the energy industry.
[2] Metoda, w której przestępca wysyła maile, podszywając się pod inną osobę lub instytucję w celu wyłudzenia np. danych logowania. Atak poprzedza wywiad środowiskowy oparty na informacjach dostępnych w sieci, dlatego treść wiadomości jest spersonalizowana.
[3] ang. Operational Technology, OT – technologia operacyjna.
[4] Wszystkie prezentowane zagrożenia opisano w raporcie F-Secure The state of the station. A report on attackers in the energy industry.
[5] http://securityglobal24h.com/sharpshooter-attacks-linked-to-north-korea-researchers-discover/general/news/Information-Security-latest-Hacking-News-Cyber-Security-Network-Security
[6] https://securityaffairs.co/wordpress/78884/hacking/operation-sharpshooter.html
[7] https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf
[8] https://www.cyber.nj.gov/threat-profiles/ics-malware-variants/blackenergy
[9] https://www.dailymail.co.uk/sciencetech/article-6913775/Experts-warn-hackers-murderous-malware-Triton-targeting-critical-infrastructure.html
[10] Złośliwe oprogramowanie blokujące dostęp do systemu i zapisanych w nim danych oraz żądające okupu za ich odszyfrowanie.