Poważny cyberatak na polskie farmy wiatrowe i słoneczne budzi globalne obawy dotyczące niezabezpieczonego sprzętu sieciowego
USA. Agencja ds agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wydała ostrzeżenie dotyczące bezpieczeństwa w następstwie zakrojonego na szeroką skalę cyberataku wymierzonym w polską infrastrukturę energii odnawialnej, podkreślając zagrożenia stwarzane przez podatne na ataki urządzenia brzegowe podłączone do Internetu, wykorzystywane w środowiskach technologii operacyjnych.
Ostrzeżenie jest następstwem raportu polskiego Zespołu Reagowania na Incydenty Komputerowe (CERT-Polska) z 30 stycznia, w którym stwierdzono, że grudniowy incydent cybernetyczny dotyczył około 30 instalacji wiatrowych i słonecznych. Według polskiej agencji, infrastruktura ataku pokrywała się z narzędziami wcześniej powiązanymi z atakiem na Powiązaną z Rosją-powiązaną z Rosją, śledzoną pod wieloma nazwami, w tym Static Tundra, Berserk Bear, Ghost Blizzard i Dragonfly.
W swoim raporcie CISA stwierdziła, że incydent ten pokazuje rosnące zagrożenia dla przemysłowych systemów sterowania (ICS) i technologii operacyjnych (OT), które są szeroko stosowane w produkcji energii, usługach użyteczności publicznej i sektorach produkcyjnych. Agencja zauważyła, że atakujący uzyskali początkowy dostęp za pośrednictwem niezałatanych lub nieobsługiwanych urządzeń brzegowych z dostępem do Internetu, takich jak routery i zapory sieciowe.
Według CISA, atakujący wdrożyli destrukcyjne złośliwe oprogramowanie typu wiper, które uszkodziło zdalne jednostki końcowe (RTU), usunęło dane z interfejsów człowiek-maszyna (HMI) i uszkodziło oprogramowanie układowe na urządzeniach technologii operacyjnej. Podczas gdy wytwarzanie energii było podobno kontynuowane, operatorzy tymczasowo utracili widoczność monitorowania i kontroli nad dotkniętymi instalacjami.
Agencja zintensyfikowała ostatnio wysiłki w celu zmniejszenia ryzyka związanego z podatnym na ataki sprzętem sieciowym. W zeszłym tygodniu CISA wydała wiążącą dyrektywę wymagającą od amerykańskich władz federalnych federalnych agencje do usunięcia nieobsługiwanych urządzeń brzegowych ze swoich sieci.
Badacze bezpieczeństwa z Dragos opisali atak jako znaczącą eskalację, zauważając, że jest to jeden z pierwszych znanych operacji cybernetycznych operacji cybernetycznych wymierzonych w rozproszone źródła energii, takie jak małe instalacje wiatrowe, słoneczne i kogeneracyjne. W przeciwieństwie do scentralizowanych elektrowni, te rozproszone systemy często w dużym stopniu polegają na zdalnej łączności i historycznie otrzymują niższe inwestycje w cyberbezpieczeństwo.
Urzędnicy z brytyjskiego Narodowego Centrum Cyberbezpieczeństwa również wezwali operatorów infrastruktury krytycznej do wzmocnienia środków ochronnych po incydencie.
CISA doradza operatorom infrastruktury, aby zapoznali się z ustaleniami technicznymi CERT-Polska i postępowali zgodnie z federalnymi wytycznymi mającymi na celu złagodzenie luk w środowiskach OT i ICS.
