Coraz więcej cyberataków na sektor energetyczny – 4 metody przestępców

Według raportu F-Secure[1] celem atakujących sektor energetyczny są nie tylko zyski, ale też działania o charakterze szpiegowskim czy wywieranienaciskówpolitycznych. Punktem dostępu do zakładowej sieci są często pracownicy, którzy padają ofiarami tzw. spear phishingu[2]. Efektem może być zablokowanie kontroli nad urządzeniami, a nawet całkowity paraliż systemów.

Celem przestępców, często powiązanych zrządami państw, jest infrastruktura krytyczna (ang. Critical Network Infrastructure, CNI). W przemysłowych systemach sterowania oraz technologiach operacyjnych(OT[3]) nie zostały zaimplementowane odpowiednie protokoły bezpieczeństwa, gdyż tego typu rozwiązania powstały jeszcze przed popularyzacją internetu. Ze względu na spadki cen paliwa sektor energetyczny ogranicza wydatki i korzysta często z nieaktualnych systemów oraz technologii. Osłabia to odporność na ataki i wydłuża czas ich wykrywania. W ostatnich kilku latach szczególnie wyróżniły się cztery metody ataków cyberprzestępców nabranżę energetyczną[4].

1. Złośliwe załączniki, czyli Operacja Sharpshooter

Sharpshooter to odkryty z końcem 2018 roku atak grupy Lazarus, prowadzącej działania cyberszpiegowskie m.in. na zlecenie władz Korei Północnej[1]. Przestępcy przez Dropbox wysyłali pracownikom wiadomości z załączonymi złośliwymi dokumentami rekrutacyjnymi. Otworzenie pliku powodowało uruchomienie trojana umożliwiającego pobieranie informacji o urządzeniu i przechwytywanie plików[2]. Poza kradzieżą poufnych danychatak stanowił prawdopodobnie okazję do rekonesansu przed kolejnym incydentem. Podobne metody stosowała grupa BlackEnergy, która w 2015 roku m.in. odcięła dostawy energii z kilku regionalnych spółek na Ukrainie oraz zaatakowała przedsiębiorstwo energetyczne w Polsce[3].

Przykład maila wykorzystującego phishing.

2. Metoda wodopoju grupy Dragonfly i Havexa

Grupa Dragonfly, łączona z rządem rosyjskim, od 2011 roku infekuje komputery organizacji m.in. z sektora energetycznego, jądrowego, wodnego i lotniczego. Przestępcy kierują pracownika na zainfekowaną stronę, np. dostawcy sprzętu lub usług IT. W ten sposób przechwytują dane dostępu do infrastruktury sieci i mogą prowadzić działania zarówno wywiadowcze, jak i sabotażowe. Podobnie działało oprogramowanie Havex, które umożliwiało twórcom zdalną kontrolę nad zainfekowanym urządzeniem i zakłócanie jego pracy. Przestępcy włamywali się na strony producentów, następnie podmienialinp. oryginalne sterowniki na zarażoną wersję i czekali, aż zostanie ściągnięta.

3. Sabotaż przez naśladowanie, czyli Triton/Trisis

Triton został po raz pierwszy wykorzystany do ataku na zakłady Samara, potentata chemicznego z Arabii Saudyjskiej. Oprogramowanie było ściśle ukierunkowane na stosowany w branży system zabezpieczeń Triconex[4]. Atak nie był jednak związany z działaniami wywiadowczymi, celem było wyrządzenie materialnych szkód. Cyberprzestępcy dbali przede wszystkim o zamaskowanie swojej obecności – Triton naśladował procesy administracyjne, zmieniał nazwy plików na niewzbudzające podejrzeń, usuwał pobierane pliki i działał tylko w momentach bezczynności urządzeń[5]. W efekcie mógł pozostawać niewykryty latami.

4. Okup na żądanie

Jedną z najbardziej udanych kampanii ransomware[6] był CryptoLocker, który w ciągu czterech miesięcy zainfekował ponad 250 tys. komputerów. W 2017 roku WannaCry przypisywany rządowi Korei Północnej obrał na cel m.in. jednego z największych na świecie producentów półprzewodników i procesorów, Taiwan Semiconductor Manufacturing Company. Kosztowało to firmę setki milionów dolarów. Ostatni przykład pochodzi sprzed zaledwie miesiąca, gdy zaszyfrowane zostały systemy norweskiego producenta aluminium Norsk Hydro.

Przestępcom wystarczy jeden udany atak. Organizacje powinny prześledzić swoją politykę cyberbezpieczeństwa, ocenić ryzyko, zmierzyć zdolność do identyfikacji hakera w swoich sieciach i przede wszystkim – być zawsze w gotowości. Monitorowanie, ostrzeganie i reagowanie 24 godziny na dobę, 7 dni w tygodniu umożliwiają m.in. rozwiązania z zakresu detekcji i reakcji na zagrożenia (ang. Endpoint Detection & Response, EDR). Zespół IT organizacji może w standardowych godzinach pracy sprawdzać podejrzane incydenty, podczas gdy resztą zajmują się specjaliści ds. cyberbezpieczeństwa – tłumaczy Kamil Donarski, Analityk zagrożeń w F-Secure.

Więcej informacji:

Blog F-Secure: https://blog.f-secure.com/cyber-attack-powerlessness-in-the-energy-industry/

Raport F-Secure: https://s3-eu-central-1.amazonaws.com/evermade-fsecure-assets/wp-content/uploads/2019/04/15105531/F-Secure_energy_report.pdf


[1] http://securityglobal24h.com/sharpshooter-attacks-linked-to-north-korea-researchers-discover/general/news/Information-Security-latest-Hacking-News-Cyber-Security-Network-Security

[2] https://securityaffairs.co/wordpress/78884/hacking/operation-sharpshooter.html

[3] https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf

[4] https://www.cyber.nj.gov/threat-profiles/ics-malware-variants/blackenergy

[5] https://www.dailymail.co.uk/sciencetech/article-6913775/Experts-warn-hackers-murderous-malware-Triton-targeting-critical-infrastructure.html

[6] Złośliwe oprogramowanie blokujące dostęp do systemu i zapisanych w nim danych oraz żądające okupu za ich odszyfrowanie.



[1] Raport F-Secure The state of the station. A report on attackers in the energy industry.

[2] Metoda, w której przestępca wysyła maile, podszywając się pod inną osobę lub instytucję w celu wyłudzenia np. danych logowania. Atak poprzedza wywiad środowiskowy oparty na informacjach dostępnych w sieci, dlatego treść wiadomości jest spersonalizowana.

[3] ang. Operational Technology, OT – technologia operacyjna.

[4] Wszystkie prezentowane zagrożenia opisano w raporcie F-Secure The state of the station. A report on attackers in the energy industry.

Dodaj komentarz