Не е новина, че много големи технологични институции са претърпели една след друга кибератака. Но кибератака срещу оперативни технологии на промишлени предприятия като тръбопроводи и електроцентрали?
Това е дръзко и унизително. И не е шега, когато удари. Такива атаки, ако са успешни, спират промишлените операции и се отразяват негативно на хората, които зависят от жертвата на индустрията. Още по-лошо, това може да осакати нация икономически.
Но как работят кибератаките срещу тръбопроводи и други промишлени инсталации? Да се вкопаем.
Защо се случват кибератаки в промишлените инсталации
За повечето от нас няма смисъл как и защо някой би получил шанса да стартира дигитално организирана кибератака срещу механично управлявано промишлено предприятие.
Е, в действителност сега виждаме изкуствен интелект, машинно обучение и повече цифрови технологии да поемат механичните и дори технически операции в индустриалните предприятия. Като такива, техните оперативни данни, логистична информация и други вече са в интернет и са податливи на кражба и атака.
Има много причини, поради които кибератаките стават все по-разпространени в промишлени инсталации като тръбопроводи, електроцентрали, водоснабдителни станции, хранително-вкусовата промишленост и други подобни.
Какъвто и да е мотивът, той вероятно ще попадне в една от следните категории.
1. Политически, икономически и бизнес мотиви
От гледна точка на бизнеса, нападателите понякога хакват индустриална система, за да получат информация за химически формулировки, брандиране, размер на пазара, технически и бизнес планове и т.н. Това може да дойде от конкурентна компания или от такива, които възнамеряват да стартират.
Политиката обаче също играе роля. Спонсорираните от държавата кибератаки обикновено целят да осакатят икономическата инфраструктура на друга държава, за да покажат силата и способностите на страната си. Един от начините, по които те постигат това, е да нарушат процесите в индустриите, които движат икономиката на страната жертва. И тук-там има съобщения за няколко от тях.
2. Финансови мотиви
Това е една от най-честите причини за кибератаките. Нападателите могат да проникнат в индустриална система по няколко финансови мотива, вариращи от извличане на информация за кредитни карти до кражба на финансова информация.
Те обикновено постигат това чрез злонамерен софтуер или троянски коне, така че да могат да се включат в системата неоткрити. Веднъж вътре, те могат да сифонират данни, свързани с технически процеси. След това хакерът може да предложи информацията, която е откраднал на черния пазар, на всеки, който се интересува.
Друг начин, по който могат да правят пари, е чрез инжектиране на ransomware, при което нападателите криптират данните на целта и след това продават паролата за солидна сума.
Свързани: Какво е Ransomware и как можете да го премахнете?
Има и разпределени атаки за отказ на услуга (DDoS), при които няколко заразени компютъра едновременно имат достъп до уебсайта на целта, като по този начин претоварват техните системи. Това не позволява на клиентите да се обърнат към посочената компания, докато не спрат атаката.
Как работят тези кибератаки? Забележителни примери
Сега, когато видяхте основните причини за кибератаките срещу промишлени предприятия. Нека да разберем как работи от тези забележителни примери.
1. Колониалният тръбопровод
Colonial Pipeline пренася приблизително 3 милиона барела петролни продукти дневно в рамките на САЩ. Това е най-големият тръбопровод за гориво в САЩ. Разбира се, човек би си представил трудността на хакването на такава сложна система.
Но немислимото се случи. Новините за хакерството му бяха заглавия през май 2021 г., като президентът Джо Байдън обяви извънредно положение поради недостиг на реактивно гориво и паническо купуване на бензин и мазут. Това стана след като тръбопроводът спря всички операции поради кибератаката.
Как хакерите осакатиха операциите на Colonial Pipeline? Чрез ransomware. Спекулациите бяха, че нападателите са били в мрежата на газопровода от седмици незабелязани.
След достъп до мрежата на тръбопровода с помощта на изтекла парола и потребителско име на персонала, намерени на тъмна мрежа, нападателите инжектираха злонамерен софтуер в ИТ системата на тръбопровода, като криптираха тяхната мрежа за фактуриране и ги държаха за заложници. След това те отидоха по-далеч, за да откраднат около 100 гигабайта данни и поискаха откуп, платен в биткойн в замяна на декриптиране.
Как споменатото потребителско име и парола изтекоха в тъмната мрежа? Никой не беше сигурен. Но възможен виновник е фишинг, насочен към персонал на Colonial Pipeline.
Свързани: Кой стои зад колониалната атака на газопровода?
Въпреки че тази атака не засегна дигитално управляваните механични системи, ефектът на ransomware можеше да бъде по-пагубен, ако Colonial Pipeline рискуваше по-нататъшни операции въпреки кибератаката.
2. Водоснабдителна система Oldsmar (Флорида)
В случая на водоснабдителната система Oldsmar, хакерите поеха виртуален контрол върху инфраструктурата за химическо третиране чрез TeamViewer, софтуер за споделяне на екрана, използван от техническия екип.
След като влезе, нападателят влезе направо в системата за контрол на лечението на съоръжението и увеличи нивото натриев хидроксид, добавен към водата до токсично ниво – точно от 100 до 11 100 части на милион (ppm).
Ако дежурният персонал не забеляза това нелепо увеличение на химическото ниво и го намали до нормалното, хакерите възнамеряваха да извършат масово убийство.
Как тези нападатели са получили идентификационни данни на TeamViewer за отдалечен достъп до интерфейса човек-машина?
Те трябва да са използвали две уязвимости в системата за контрол на Oldsmar. Първо, целият персонал използва един и същ TeamViewer ID и парола за достъп до хакнатата система. Второ, софтуерът на системата беше остарял, тъй като работеше на Windows 7, за който Microsoft каза, че е по-уязвим на атаки на зловреден софтуер поради преустановена поддръжка.
Хакерите трябва или да са проникнали с груба сила, или да са подушили остарялата система, използвайки зловреден софтуер.
3. Украински електростанции
Приблизително 225 000 души бяха хвърлени в мрака, след като украинската електропреносна система пострада от кибератака през декември 2015 г. Този път нападателите използваха BlackEnergy, универсален зловреден софтуер за контрол на системата, за да постигнат целта си.
Но как са намерили начин да инжектират този зловреден софтуер в толкова голяма индустриална инсталация?
Преди атаката хакерите стартираха мащабна фишинг кампания. Фишинг имейлът подведе служителите да щракнат върху връзка, която ги подтикна да инсталират злонамерен плъгин, маскиран като макроси.
Споменатият плъгин позволи на бота BlackEnergy да зарази успешно мрежовата система чрез бекдор достъп. След това хакерите получиха VPN идентификационни данни, които позволяват на персонала да контролира дистанционно мрежовата система.
След като влязоха, хакерите отделиха време, за да наблюдават процесите. И когато бяха готови, те изведоха персонала от всички системи, поеха контрола върху процесора за надзорен контрол и събиране на данни (SCADA). След това те деактивираха резервното захранване, затвориха 30 електростанции и използваха атаки на отказ на услуга за предотвратяване на доклади за прекъсвания.
4. Атаката на Тритон
Triton е скрипт за злонамерен софтуер, който е насочен предимно към индустриални системи за контрол. Силата му се усети, когато през 2017 г. група хакери го инжектира в това, което експертите смятат за нефтохимическа електроцентрала в Саудитска Арабия.
Тази атака също следва модела на фишинг и вероятно грубо налагане на пароли, за да се получи първоначален бекдор достъп до системите за контрол, преди да се инжектира зловреден софтуер.
След това хакерите получиха отдалечен достъп до работната станция на системата с инструменти за безопасност (SIS), за да им попречат да докладват правилно за грешки.
Свързани: Какво е хак на веригата за доставки и как можете да останете в безопасност?
Изглежда обаче, че нападателите само научават как работи системата, преди да започнат действителна атака. Докато хакерите се движеха наоколо и настройваха системата за управление, цялата централа се затвори, благодарение на някои системи за безопасност, които активираха защита от отказ.
5. Атаката на Stuxnet
Stuxnet е компютърен червей, насочен основно към програмируеми логически контролери (PLC) в ядрени съоръжения. Червеят, разработен от съвместния екип на САЩ и Израел, пътува чрез USB флаш с афинитет към операционната система Windows.
Stuxnet работи, като поема контролните системи и настройва съществуващите програми, за да предизвика повреда в PLC. През 2010 г. той беше използван като кибероръжие срещу съоръжение за обогатяване на уран в Иран.
След като зарази над 200 000 компютъра в съоръжението, червеят препрограмира инструкциите за въртене на урановата центрофуга. Това ги накара да се завъртят рязко и да се самоунищожат в процеса.
6. Месопреработвателен завод JBS
Тъй като печалбата е неизбежна, хакерите няма да освободят хранително-вкусовата промишленост от своите експедиции. Финансов мотив накара хакери да предприемат операции за отвличане на JBS, най-големия в света месопреработвателен завод, през юни 2021 г.
В резултат на това компанията затвори всички операции в Северна Америка и Австралия. Това се случи няколко седмици след атаката на колониалния газопровод.
Как протече атаката срещу индустриалния завод на JBS?
Подобно на случая с Colonial Pipeline, нападателите заразиха системата за обработка на месо JBS с софтуер за откуп. След това те заплашиха да изтрият високопрофилна информация, ако компанията не плати откуп в криптовалута.
Индустриалните кибератаки следват модел
Въпреки че всяка от тези атаки има план за действие, модел, който можем да заключим, е, че хакерите трябваше да нарушат протоколите за удостоверяване, за да получат първоначално влизане. Те постигат това чрез груба сила, фишинг или подсмърчане.
След това те инсталират какъвто и да е зловреден софтуер или вирус в целевата индустриална система, за да им помогнат да постигнат целите си.
Кибератаките срещу промишлени инсталации са опустошителни
Кибератаките се увеличават и стават плашещо доходоносни в интернет. Както видяхте, той не само засяга целевата организация, но се разпространява и сред хората, които се възползват от нейните продукти. Самите механични операции не са уязвими за кибератаки, но контролиращите цифрови технологии зад тях ги правят уязвими.
Въпреки това влиянието на цифровите системи за управление върху техническите процеси е ценно. Индустриите могат само да укрепят своите защитни стени и да следват строги правила за сигурност, проверки и баланси, за да предотвратят кибератаки.
Предотвратяването на кибератаки е от решаващо значение и да бъдете умни, докато използвате уеб приложения, ще ви помогне да се защитите онлайн.
Прочетете Следващото
- Сигурност
- Кибер защита
Idowu е страстен за всичко, което е интелигентна технология и производителност. В свободното си време той играе наоколо с кодирането и преминава към шахматната дъска, когато му е скучно, но също така обича да се откъсва от рутината от време на време. Страстта му да показва на хората пътя около съвременните технологии го мотивира да пише повече.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!
Щракнете тук, за да се абонирате
