Крупная кибератака на польские ветряные и солнечные электростанции вызывает глобальную озабоченность по поводу небезопасного сетевого оборудования
США. Агентство кибербезопасности агентство по кибербезопасности и защите инфраструктуры (CISA) выпустило предупреждение о безопасности после крупномасштабной кибератаки направленной на инфраструктуру возобновляемых источников энергии в Польше, и подчеркивает риски, связанные с уязвимостью подключенных к Интернету устройств, используемых в операционных технологических средах.
Предупреждение последовало за опубликованным 30 января отчетом польской Группы реагирования на компьютерные чрезвычайные ситуации (CERT-Polska), в котором говорится о том, что декабрьский кибер-инцидент был направлен примерно на 30 ветряных и солнечных электростанций. По данным польского агентства, инфраструктура атаки пересекалась с инструментами, которые ранее были связаны с Россия-связанная с Россией группа угроз, отслеживаемая под несколькими именами, включая Static Tundra, Berserk Bear, Ghost Blizzard и Dragonfly.
В своей рекомендации CISA заявило, что этот инцидент демонстрирует растущие угрозы для промышленных систем управления (ICS) и операционных технологий (OT), которые широко распространены в энергетике, коммунальном хозяйстве и производственном секторе. Агентство отметило, что злоумышленники получили первоначальный доступ через непропатченные или неподдерживаемые устройства, выходящие в Интернет, такие как маршрутизаторы и брандмауэры.
По данным CISA, злоумышленники развернули разрушительное вредоносное ПО wiper, которое повредило удаленные терминальные устройства (RTU), стерло данные на человеко-машинных интерфейсах (HMI) и повредило встроенное программное обеспечение всех операционных технологических устройств. Хотя производство энергии, как сообщается, продолжалось, операторы временно потеряли возможность мониторинга и управления затронутыми установками.
В последнее время агентство активизировало усилия по снижению рисков, связанных с уязвимым сетевым оборудованием. На прошлой неделе CISA выпустило обязательную директиву, требующую от американских федеральных агентствам удалить из своих сетей неподдерживаемые пограничные устройства.
Исследователи безопасности из компании Dragos назвали эту атаку значительной эскалацией, отметив, что она знаменует собой одну из первых известных кибер операций, направленных на распределенные источники энергии, такие как небольшие ветряные, солнечные и теплоэлектростанции. В отличие от централизованных электростанций, эти распределенные системы часто в значительной степени зависят от удаленного подключения и исторически получают меньшие инвестиции в кибербезопасность.
Представители Национального центра кибербезопасности Великобритании также призвали операторов критической инфраструктуры усилить меры защиты после этого инцидента.
CISA советует операторам инфраструктуры изучить технические выводы CERT-Polska и следовать федеральному руководству, направленному на уменьшение уязвимостей в средах OT и ICS.
