Ze względu na spadki cen paliwa sektor energetyczny ogranicza wydatki i korzysta często z nieaktualnych systemów oraz technologii. Osłabia to odporność na ataki i wydłuża czas ich wykrywania. W ostatnich kilku latach szczególnie wyróżniły się cztery metody prowadzenia cyberataków na branżę energetyczną.

1. Złośliwe załączniki, czyli Operacja Sharpshooter

Sharpshooter to odkryty z końcem 2018 roku atak grupy Lazarus, prowadzącej działania szpiegowskie m.in. na zlecenie władz Korei Północnej. Przestępcy przez Dropbox wysyłali pracownikom wiadomości z załączonymi złośliwymi dokumentami rekrutacyjnymi. Otworzenie pliku powodowało uruchomienie trojana umożliwiającego pobieranie informacji o urządzeniu i przechwytywanie plików. Poza kradzieżą poufnych danych atak stanowił prawdopodobnie okazję do rekonesansu przed kolejnym incydentem. Podobne metody stosowała grupa BlackEnergy, która w 2015 roku m.in. odcięła dostawy energii z kilku regionalnych spółek na Ukrainie oraz zaatakowała przedsiębiorstwo energetyczne w Polsce.

2. Metoda wodopoju grupy Dragonfly i Havexa

Grupa Dragonfly, łączona z rządem rosyjskim, od 2011 roku infekuje komputery organizacji m.in. z sektora energetycznego, jądrowego, wodnego i lotniczego. Przestępcy kierują pracownika na zainfekowaną stronę, np. dostawcy sprzętu lub usług IT. W ten sposób przechwytują dane dostępu do infrastruktury sieci i mogą prowadzić działania zarówno wywiadowcze, jak i sabotażowe. Podobnie działało oprogramowanie Havex, które umożliwiało twórcom zdalną kontrolę nad zainfekowanym urządzeniem i zakłócenie jego pracy. Przestępcy włamywali się na strony producentów, następnie podmieniali np. oryginalne sterowniki na zakażoną wersję i czekali, aż zostanie ściągnięta.

3. Sabotaż przez naśladowanie, czyli Triton/Trisis

Triton został po raz pierwszy wykorzystany do ataku na zakłady Samara, potentata chemicznego z Arabii Saudyjskiej. Oprogramowanie było ściśle ukierunkowane na stosowany w branży system zabezpieczeń Triconex. Atak nie był jednak związany z działaniami wywiadowczymi, celem było wyrządzenie materialnych szkód. Cyberprzestępcy dbali przede wszystkim o zamaskowanie swojej obecności – Triton naśladował procesy administracyjne, zmieniał nazwy plików na niewzbudzające podejrzeń, usuwał pobierane pliki i działał tylko w momentach bezczynności urządzeń. W efekcie mógł pozostawać niewykryty latami.

4. Okup na żądanie

Jedną z najbardziej udanych kampanii ransomware był CryptoLocker, który w ciągu czterech miesięcy zainfekował ponad 250 tys. komputerów. W 2017 roku WannaCry przypisywany rządowi Korei Północnej obrał na cel m.in. jednego z największych na świecie producentów półprzewodników i procesorów, Taiwan Semiconductor Manufacturing Company. Kosztowało to firmę setki milionów dolarów. Ostatni przykład pochodzi sprzed zaledwie miesiąca, gdy zaszyfrowane zostały systemy norweskiego producenta aluminium Norsk Hydro.

Kamil Donarski, Analityk zagrożeń w F-Secure, zaznacza, że przestępcom wystarczy jeden udany atak. Organizacje powinny prześledzić swoją politykę cyberbezpieczeństwa, ocenić ryzyko, zmierzyć zdolność do identyfikacji cyberprzestępcy w swoich sieciach i przede wszystkim – być zawsze w gotowości.

Źródło: F-Secure