The Cybersecurity and Infrastructure Security Agency (CISA) vydala včera usmernenie, v ktorom spomína útok ransomvérom na kompresorovú stanicu zemného plynu. CISA musela pomáhať pri útoku, ktorý sa dostal až do OT (Operational technology) siete kompresorovej stanice.
Útočníci sa dostali do siete po zaslaní cieleného spearphishingového linku. Po získaní prístupu do IT siete stanice sa dostali aj do kritickej infraštruktúry OT siete.
Po preniknutí do obidvoch sietí použili útočníci obyčajný dostupný ransomvér a zašifrovali počítače v obidvoch sieťach. V OT sieti boli postihnuté HMI (human machine interfaces), data historians a polling servery. Kvôli tomu nebolo možné vidieť stav zariadení kompresorovej stanice v reálnom čase.
Operátori stratili viditeľnosť čo sa deje a či zariadenia pracujú vo vymedzených parametroch. Keďže išlo podľa všetkého o typický ransomvér útok a nie o APT skupinu, tak PLC (programmable logic controller) zariadenia neboli ovplyvnené útokom.
Ak by útočníci manipulovali s PLC zariadeniami, tak mohlo dôjsť k strate kontroly alebo ovplyvneniu fungovania kompresorovej stanice. Kvôli útoku bolo z bezpečnostných dôvodov rozhodnuté pozastaviť fungovanie stanice na 2 dni.
Pozoruhodné bolo zistenie, že prevádzkovateľ vo svojom núdzovom pláne vôbec nerátal s kybernetickým útokom. Plán popisoval len fyzickú bezpečnosť stanice a reakciu na fyzické narušenie.
CISA neuviedla typ ransomvéru, ani kto bol obeťou útoku. Ak si spomínate, tak sme nedávno na našom incident blogu písali o Ekans ransomvéri. Tento ransomvér má zoznam 64 procesov súvisiacich s ICS systémami, ktoré tesne pred útokom zastaví. Ransomvér útoky na kritickú infraštruktúru sú ďalším znepokojivým trendom. Prevádzkovatelia kritickej infraštruktúry by mali venovať zvýšenú pozornosť bezpečnosti svojich IT a OT systémov.
Obrázok: „Warning – Natural Gas Pipeline – Xcel Energy“ by Tony Webster, used under CC BY 2.0
