Według raportu F-Secure celem atakujących sektor energetyczny są nie tylko zyski, ale też działania o charakterze szpiegowskim czy wywieranie nacisków politycznych. Punktem dostępu do zakładowej sieci są często pracownicy, którzy padają ofiarami tzw. spear phishingu . Efektem może być zablokowanie kontroli nad urządzeniami, a nawet całkowity paraliż systemów. Celem przestępców, często powiązanych z rządami państw, jest infrastruktura krytyczna (ang. Critical Network Infrastructure, CNI).
W przemysłowych systemach sterowania oraz technologiach operacyjnych (OT ) nie zostały zaimplementowane odpowiednie protokoły bezpieczeństwa, gdyż tego typu rozwiązania powstały jeszcze przed popularyzacją internetu. Ze względu na spadki cen paliwa sektor energetyczny ogranicza wydatki i korzysta często z nieaktualnych systemów oraz technologii. Osłabia to odporność na ataki i wydłuża czas ich wykrywania. W ostatnich kilku latach szczególnie wyróżniły się cztery metody ataków cyberprzestępców na branżę energetyczną .
1. Złośliwe załączniki, czyli Operacja Sharpshooter
Sharpshooter to odkryty z końcem 2018 roku atak grupy Lazarus, prowadzącej działania cyberszpiegowskie m.in. na zlecenie władz Korei Północnej . Przestępcy przez Dropbox wysyłali pracownikom wiadomości z załączonymi złośliwymi dokumentami rekrutacyjnymi. Otworzenie pliku powodowało uruchomienie trojana umożliwiającego pobieranie informacji o urządzeniu i przechwytywanie plików . Poza kradzieżą poufnych danych atak stanowił prawdopodobnie okazję do rekonesansu przed kolejnym incydentem. Podobne metody stosowała grupa BlackEnergy, która w 2015 roku m.in. odcięła dostawy energii z kilku regionalnych spółek na Ukrainie oraz zaatakowała przedsiębiorstwo energetyczne w Polsce .
2. Metoda wodopoju grupy Dragonfly i Havexa
Grupa Dragonfly, łączona z rządem rosyjskim, od 2011 roku infekuje komputery organizacji m.in. z sektora energetycznego, jądrowego, wodnego i lotniczego. Przestępcy kierują pracownika na zainfekowaną stronę, np. dostawcy sprzętu lub usług IT. W ten sposób przechwytują dane dostępu do infrastruktury sieci i mogą prowadzić działania zarówno wywiadowcze, jak i sabotażowe. Podobnie działało oprogramowanie Havex, które umożliwiało twórcom zdalną kontrolę nad zainfekowanym urządzeniem i zakłócanie jego pracy. Przestępcy włamywali się na strony producentów, następnie podmieniali np. oryginalne sterowniki na zarażoną wersję i czekali, aż zostanie ściągnięta.
3. Sabotaż przez naśladowanie, czyli Triton/Trisis
Triton został po raz pierwszy wykorzystany do ataku na zakłady Samara, potentata chemicznego z Arabii Saudyjskiej. Oprogramowanie było ściśle ukierunkowane na stosowany w branży system zabezpieczeń Triconex . Atak nie był jednak związany z działaniami wywiadowczymi, celem było wyrządzenie materialnych szkód. Cyberprzestępcy dbali przede wszystkim o zamaskowanie swojej obecności – Triton naśladował procesy administracyjne, zmieniał nazwy plików na niewzbudzające podejrzeń, usuwał pobierane pliki i działał tylko w momentach bezczynności urządzeń . W efekcie mógł pozostawać niewykryty latami.
4. Okup na żądanie
Jedną z najbardziej udanych kampanii ransomware był CryptoLocker, który w ciągu czterech miesięcy zainfekował ponad 250 tys. komputerów. W 2017 roku WannaCry przypisywany rządowi Korei Północnej obrał na cel m.in. jednego z największych na świecie producentów półprzewodników i procesorów, Taiwan Semiconductor Manufacturing Company. Kosztowało to firmę setki milionów dolarów. Ostatni przykład pochodzi sprzed zaledwie miesiąca, gdy zaszyfrowane zostały systemy norweskiego producenta aluminium Norsk Hydro.
– Przestępcom wystarczy jeden udany atak. Organizacje powinny prześledzić swoją politykę cyberbezpieczeństwa, ocenić ryzyko, zmierzyć zdolność do identyfikacji hakera w swoich sieciach i przede wszystkim – być zawsze w gotowości. Monitorowanie, ostrzeganie i reagowanie 24 godziny na dobę, 7 dni w tygodniu umożliwiają m.in. rozwiązania z zakresu detekcji i reakcji na zagrożenia (ang. Endpoint Detection & Response, EDR). Zespół IT organizacji może w standardowych godzinach pracy sprawdzać podejrzane incydenty, podczas gdy resztą zajmują się specjaliści ds. cyberbezpieczeństwa – tłumaczy Kamil Donarski, Analityk zagrożeń w F-Secure.