Divizia de cybersecurity (Cybersecurity and Infrastructure Security Agency – CISA) a Departamentului de Securitate Internă (Departament of Homeland Security – DHS) a anunțat pe 18.02.2020 că a intervenit pentru a sprjini un operator de transport gaze naturale (nenominalizat) care a fost victima unui atac de tip ransomware.
Ceea ce a atras atenția în acest atac a fost complexitatea modului de operare. Deși atacatorii au intrat prin sistemul IT al operatorului energetic, atacul nu a țintit aceste elemente, ci a căutat mai departe în rețea până a ajuns la elementele care operează tehnologia de transport (ex: SCADA), cea care gestionează hardware și software sistemele de control industrial ale operatorului de transport. De abia după ce a accesat tehnologia operațională (TO) a țintei, atacatorii au blocat ambele rețele (IT ți TO), solicitând recompense.
Deși transportatorul nu a pierdut în niciun moment controlul asupra operațiunilor sale, a fost totuși nevoit să își oprească activitatea, voluntar, timp de două zile, până la îndepărtarea problemei. Chiar dacă atacul a afectat o singură facilitate de control, alte puncte distincte ale rețelei au fost nevoite să își oprească și ele activitatea din cauza interdependențelor din cadrul rețelei de transport.
Atacul atrage atenția prin faptul că virusul lansat a reușit să traverseze mai multe rețele și să identifice punctele critice pe care să le atace. Un astfel de comportament este descris de experții CISA ca fiind un viitor trend în ransomware. Această modalitate de abordare permite virusului să caute puncte-cheie prin care să închidă sistemele de siguranță, oferind posibilitatea hackerilor să obțină o plajă mai largă de elemente critice pe care să le blocheze. Ca urmare, lansatorii atacului se află în poziția de a solicita recompense mai mari, existând o legătură evidentă între creșterea volumului și importanței țintelor și a sumelor cerute.
Acest tip de atac ransomware este din ce în ce mai prezent, în special în domeniul energetic, acolo unde atacatorii au descoperit că sistemele din cadrul tehnologiei operaționale sunt de cele mai multe ori mai slab protejate.
CISA a atras atenția asupra lipsei unei bariere de securitate între sistemele IT și TO ale operatorului energetic, precum și asupra necesității unei strategii de răspuns la un atac de tip cibernetic asupra capacităților sale fizice.
Sursă articol și foto: fifthdomain.com
