Celem przestępców, często powiązanych z rządami państw, najczęściej jest infrastruktura krytyczna. W przemysłowych systemach sterowania oraz technologiach operacyjnych nie zostały zaimplementowane odpowiednie protokoły bezpieczeństwa, gdyż tego typu rozwiązania powstały jeszcze przed popularyzacją internetu. Ze względu na spadki cen paliwa sektor energetyczny ogranicza wydatki i korzysta często z nieaktualnych systemów oraz technologii. Osłabia to odporność na ataki i wydłuża czas ich wykrywania. W ostatnich kilku latach szczególnie wyróżniły się cztery metody ataków cyberprzestępców na branżę energetyczną.

Złośliwe załączniki, czyli Operacja Sharpshooter

Sharpshooter to odkryty z końcem 2018 r. atak grupy Lazarus, prowadzącej działania cyberszpiegowskie m.in. na zlecenie władz Korei Północnej. Przestępcy przez Dropbox wysyłali pracownikom wiadomości z załączonymi złośliwymi dokumentami rekrutacyjnymi. Otworzenie pliku powodowało uruchomienie trojana umożliwiającego pobieranie informacji o urządzeniu i przechwytywanie plików. Poza kradzieżą poufnych danych atak stanowił prawdopodobnie okazję do rekonesansu przed kolejnym incydentem. Podobne metody stosowała grupa BlackEnergy, która w 2015 r. m.in. odcięła dostawy energii z kilku regionalnych spółek na Ukrainie oraz zaatakowała przedsiębiorstwo energetyczne w Polsce. 

Metoda wodopoju grupy Dragonfly i Havexa

Grupa Dragonfly, łączona z rządem rosyjskim, od 2011 r. infekuje komputery organizacji m.in. z sektora energetycznego, jądrowego, wodnego i lotniczego. Przestępcy kierują pracownika na zainfekowaną stronę, np. dostawcy sprzętu lub usług IT. W ten sposób przechwytują dane dostępu do infrastruktury sieci i mogą prowadzić działania zarówno wywiadowcze, jak i sabotażowe. Podobnie działało oprogramowanie Havex, które umożliwiało twórcom zdalną kontrolę nad zainfekowanym urządzeniem i zakłócanie jego pracy. Przestępcy włamywali się na strony producentów, następnie podmieniali np. oryginalne sterowniki na zarażoną wersję i czekali, aż zostanie ściągnięta.

Sabotaż przez naśladowanie, czyli Triton/Trisis

Triton został po raz pierwszy wykorzystany do ataku na zakłady Samara, potentata chemicznego z Arabii Saudyjskiej. Oprogramowanie było ściśle ukierunkowane na stosowany w branży system zabezpieczeń Triconex1. Atak nie był jednak związany z działaniami wywiadowczymi, celem było wyrządzenie materialnych szkód. Cyberprzestępcy dbali przede wszystkim o zamaskowanie swojej obecności – Triton naśladował procesy administracyjne, zmieniał nazwy plików na niewzbudzające podejrzeń, usuwał pobierane pliki i działał tylko w momentach bezczynności urządzeń. W efekcie mógł pozostawać niewykryty latami.

Okup na żądanie

Jedną z najbardziej udanych kampanii ransomware był CryptoLocker, który w ciągu czterech miesięcy zainfekował ponad 250 tys. komputerów. W 2017 r. WannaCry przypisywany rządowi Korei Północnej obrał na cel m.in. jednego z największych na świecie producentów półprzewodników i procesorów, Taiwan Semiconductor Manufacturing Company. Kosztowało to firmę setki milionów dolarów. Ostatni przykład pochodzi sprzed zaledwie miesiąca, gdy zaszyfrowane zostały systemy norweskiego producenta aluminium Norsk Hydro.

Źródło: F-Secure