Atak ransomware na operatora rurociągu w USA. Wykonali kontrolowany shutdown instalacji… US CERT ostrzega innych operatorów infry krytycznej

Skondensowaną informację o incydencie (wraz zaleceniami) publikuje US CERT. Nie był to tym razem losowy ransomware jakich wiele (choć nie był również wyrafinowany – czytaj dalej). Najpierw na operatora rurociągu użyto ataku klasy spear phishing (stosowny link przesłany do ofiary) aby uzyskać dostęp w sieci IT. Następnie udało się przeskoczyć do sieci OT (brak separacji – niespodzianka! ;) oraz finalnie odpalić ransomware w obu sieciach. Skutek? Utrata widoczności operacji w sieci OT:

Specific assets experiencing a Loss of Availability on the OT network included human machine interfaces (HMIs), data historians, and polling servers. Impacted assets were no longer able to read and aggregate real-time operational data reported from low-level OT devices, resulting in a partial Loss of View for human operators.

W wyniku ataku podjęto decyzje o kontrolowanym zatrzymaniu sieci („deliberate and controlled shutdown to operations”), co trwało dwa dni. Co ciekawe w analizach ryzyka (i stosownych procedurach) operator rurociągu rozważał raczej różne fizyczne zagrożenia, nie wspominając zupełnie nic o zagrożeniach klasy cyber.

Wygląda na to, że zaawansowany APT czy inny niezmiernie zły aktor napastnik mógłby spokojnie przejąć całą sieć (podsumowanie wspomina np. że urządzenia PLC nie zostały dotknięte prawdopodobnie tylko dlatego, że użyty ransomware był przystosowany na systemy Windows…). Zapewne też wspominana firma nie wykonywała żadnych testów cyberbezpieczeństwa („po co?”, „nie możemy pozwolić żeby coś stanęło”, „nie mamy osobnych urządzeń na testy, sprawdźmy tylko papiery”). Coż, przy takim podejściu testy wcześniej czy później będą wykonane…  przez napastników.

–ms