Atak ransomware na operatora rurociągu w USA. Wykonali kontrolowany shutdown instalacji… US CERT ostrzega innych operatorów infry krytycznej

19 lutego 2020, 18:33 | W biegu | komentarzy 7
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Skondensowaną informację o incydencie (wraz zaleceniami) publikuje US CERT. Nie był to tym razem losowy ransomware jakich wiele (choć nie był również wyrafinowany – czytaj dalej). Najpierw na operatora rurociągu użyto ataku klasy spear phishing (stosowny link przesłany do ofiary) aby uzyskać dostęp w sieci IT. Następnie udało się przeskoczyć do sieci OT (brak separacji – niespodzianka! ;) oraz finalnie odpalić ransomware w obu sieciach. Skutek? Utrata widoczności operacji w sieci OT:

Specific assets experiencing a Loss of Availability on the OT network included human machine interfaces (HMIs), data historians, and polling servers. Impacted assets were no longer able to read and aggregate real-time operational data reported from low-level OT devices, resulting in a partial Loss of View for human operators.

W wyniku ataku podjęto decyzje o kontrolowanym zatrzymaniu sieci („deliberate and controlled shutdown to operations”), co trwało dwa dni. Co ciekawe w analizach ryzyka (i stosownych procedurach) operator rurociągu rozważał raczej różne fizyczne zagrożenia, nie wspominając zupełnie nic o zagrożeniach klasy cyber.

Wygląda na to, że zaawansowany APT czy inny niezmiernie zły aktor napastnik mógłby spokojnie przejąć całą sieć (podsumowanie wspomina np. że urządzenia PLC nie zostały dotknięte prawdopodobnie tylko dlatego, że użyty ransomware był przystosowany na systemy Windows…). Zapewne też wspominana firma nie wykonywała żadnych testów cyberbezpieczeństwa („po co?”, „nie możemy pozwolić żeby coś stanęło”, „nie mamy osobnych urządzeń na testy, sprawdźmy tylko papiery”). Coż, przy takim podejściu testy wcześniej czy później będą wykonane…  przez napastników.

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. tao

    To chyba amerykański „rząd” nic nie wiedział bo nie dopuścili by do uruchomienia systemów infrastruktury krytycznej bez audytu, nawet polski orlen ma odseparowaną sieć w sensie serwis i to co dla publiki to na zewnętrznym hostingu a krytyczne odizolowane całkowicie (chociaż na stacjach paliw mają włączone wifi które pewnie współpracuje z siecią obsługującą płatności itd). Ale widze że teraz jest łatwiej zaatakować taką infrastrukture niż za czasow stuxneta :V.

    Odpowiedz
    • Emil

      W USA są też prywatne firmy – a prywatna infrastruktura rząd obchodzi tyle co zeszłoroczny śnieg.

      Odpowiedz
  2. NieKsiazkaMen

    pytanie z zakresu edycji postów.
    W jakim celu używa się przekreślenia w postach na przykład: „APT czy inny niezmiernie zły aktor” ?

    Odpowiedz
  3. mtx

    Co to jest sieć OT?

    Odpowiedz
    • Abakarow

      OT – Operational Technology

      Odpowiedz
    • Abakarow

      Operational Technology

      Odpowiedz

Odpowiedz