A lengyel szél- és naperőművek elleni jelentős kibertámadás világszerte aggodalomra ad okot a bizonytalan hálózati hardverek miatt
Az USA. Kiberbiztonság és Infrastruktúra Biztonsági Ügynökség (CISA) biztonsági riasztást adott ki egy nagyszabású kibertámadás után amely Lengyelország megújuló energiával kapcsolatos infrastruktúráját célozta meg, és rámutatott az operatív technológiai környezetekben használt, az internetre csatlakoztatott, sebezhető peremeszközök jelentette kockázatokra.
A figyelmeztetés a lengyel számítógépes vészhelyzetekre reagáló csoport (CERT-Polska) január 30-i jelentését követi, amely megállapította, hogy egy decemberi kiberincidens mintegy 30 szél- és naperőművet vett célba. A lengyel ügynökség szerint a támadás infrastruktúrája átfedésben volt a korábban egy olyan eszközzel, amely korábban egy Oroszország-fenyegetőcsoporttal kapcsolatban álltak, amelyet több néven is nyomon követtek, többek között Static Tundra, Berserk Bear, Ghost Blizzard és Dragonfly néven.
A CISA tanácsadói közleményében kijelentette, hogy az incidens az ipari vezérlőrendszereket (ICS) és az operatív technológiát (OT) fenyegető növekvő fenyegetésekről tanúskodik, amelyek széles körben elterjedtek az energiatermelés, a közművek és a feldolgozóipar területén. Az ügynökség megjegyezte, hogy a támadók a kezdeti hozzáférést nem javított vagy nem támogatott, internetre néző peremeszközökön keresztül szerezték meg, mint pl routerek és tűzfalak.
A CISA szerint a támadók olyan pusztító wiper malware-t vetettek be, amely megrongálta a távoli terminálegységeket (RTU), törölt adatokat az ember-gép interfészeken (HMI) és megrongálta a firmware-t az operatív technológiai eszközökön. Miközben az energiatermelés a jelentések szerint folytatódott, az üzemeltetők átmenetileg elvesztették az érintett létesítmények felügyeleti és ellenőrzési rálátását.
Az ügynökség a közelmúltban fokozta erőfeszítéseit a sérülékeny hálózati berendezésekből eredő kockázatok csökkentésére. A múlt héten a CISA kötelező érvényű irányelvet adott ki, amely előírja, hogy az U.S. szövetségi ügynökségeket, hogy távolítsák el a nem támogatott szélső eszközöket a hálózataikból.
A Dragos biztonsági kutatói a támadást jelentős eszkalációnak minősítették, megjegyezve, hogy ez az egyik első ismert kiber műveletek közül, amelyek kifejezetten az elosztott energiaforrásokat, például a kis méretű szél-, nap- és hőerőműveket célozzák. A központosított erőművekkel ellentétben ezek az elosztott rendszerek gyakran nagymértékben támaszkodnak a távoli összeköttetésre, és hagyományosan alacsonyabb kiberbiztonsági beruházásokban részesülnek.
Az Egyesült Királyság Nemzeti Kiberbiztonsági Központjának tisztviselői az incidenst követően a kritikus infrastruktúrák üzemeltetőit is a védelmi intézkedések megerősítésére szólították fel.
A CISA azt tanácsolja az infrastruktúra-üzemeltetőknek, hogy vizsgálják felül a CERT-Polska technikai megállapításait, és kövessék a szövetségi útmutatást, amelynek célja az OT- és ICS-környezetek sebezhetőségének mérséklése.
