Cum funcționează atacurile cibernetice asupra conductelor și a altor instalații industriale?

Nu este o știre că multe instituții tehnologice mari au suferit un atac cibernetic după altul. Dar un atac cibernetic împotriva tehnologiilor operaționale ale instalațiilor industriale precum conductele și centralele electrice?

E îndrăzneț și umilitor. Și nu e de glumă când lovește. Astfel de atacuri, dacă au succes, blochează operațiunile industriale și afectează negativ oamenii care depind de industria victimizată. Mai rău, ar putea paraliza o națiune din punct de vedere economic.

Dar cum funcționează atacurile cibernetice asupra conductelor și a altor instalații industriale? Să săpăm.

De ce se întâmplă atacurile cibernetice la instalațiile industriale

Pentru cei mai mulți dintre noi, nu are sens cum și de ce cineva ar avea șansa de a lansa un atac cibernetic orchestrat digital împotriva unei fabrici industriale operate mecanic.

Ei bine, în realitate, vedem acum inteligența artificială, învățarea automată și mai multe tehnologii digitale care preiau operațiunile mecanice și chiar tehnice din fabricile industriale. Ca atare, datele lor operaționale, informațiile logistice și multe altele sunt acum pe internet și sunt susceptibile de furt și atac.

Există multe motive pentru care atacurile cibernetice devin din ce în ce mai răspândite asupra instalațiilor industriale cum ar fi conductele, centralele electrice, stațiile de alimentare cu apă, industriile alimentare și altele asemenea.

Oricare ar fi motivul, probabil că se va încadra într-una dintre următoarele categorii.

1. Motive politice, economice și de afaceri

Din punct de vedere al afacerii, atacatorii pirata uneori un sistem industrial pentru a obține informații despre formulările chimice, branding, dimensiunea pieței, planurile tehnice și de afaceri și așa mai departe. Acest lucru ar putea veni de la o companie concurentă sau de la cei care intenționează să înceapă.

Cu toate acestea, și politica joacă un factor. Atacurile cibernetice sponsorizate de stat intenționează de obicei să paralizeze infrastructura economică a unei alte țări pentru a arăta puterea și capacitățile țării lor. Una dintre modalitățile prin care reușesc acest lucru este de a perturba procesele din industriile care conduc economia unei țări victime. Și au existat rapoarte despre câțiva dintre ei ici și colo.

2. Motive financiare

Acesta este unul dintre cele mai frecvente motive din spatele atacurilor cibernetice. Atacatorii pot pătrunde într-un sistem industrial din mai multe motive financiare, de la preluarea informațiilor despre cardul de credit până la furtul de informații financiare.

De obicei, reușesc acest lucru prin malware sau troieni, astfel încât să poată accesa sistemul nedetectați. Odată înăuntru, ei pot sifona datele referitoare la procesele tehnice. Hackerul poate oferi apoi informațiile pe care le-a furat pe piața neagră oricărei persoane interesate.

O altă modalitate prin care pot câștiga bani este prin injecția de ransomware, în care atacatorii criptează datele țintei și apoi vând parola pentru o sumă mare.

Legate de: Ce este ransomware-ul și cum îl puteți elimina?

Există, de asemenea, atacuri distribuite de respingere a serviciului (DDoS), în care mai multe computere infectate accesează simultan site-ul web al unei ținte, copleșindu-le astfel sistemele. Acest lucru împiedică clienții să contacteze compania menționată până când opresc atacul.

Cum funcționează aceste atacuri cibernetice? Exemple notabile

Acum că ați văzut motivele importante din spatele atacurilor cibernetice asupra fabricilor industriale. Să facem o perspectivă asupra modului în care funcționează din aceste exemple notabile.

1. Conducta colonială

Conducta Colonial mută zilnic aproximativ 3 milioane de barili de produse petroliere în SUA. Este cea mai mare conductă de combustibil din SUA. Desigur, s-ar putea imagina dificultatea de a pirata un sistem atât de complex.

Dar de neconceput s-a întâmplat. Știrile despre hack-ul său au făcut titluri în mai 2021, președintele Joe Biden declarând starea de urgență din cauza penuriei de combustibil pentru avioane și a achiziționării în panică de benzină și ulei de încălzire. Asta după ce conducta a închis toate operațiunile din cauza atacului cibernetic.

Cum au paralizat hackerii operațiunile Colonial Pipeline? Prin ransomware. Se specula că atacatorii se aflau de câteva săptămâni în rețeaua conductei fără a fi observați.

După ce ați accesat rețeaua conductei folosind o parolă și un nume de utilizator scurs de personal, găsite pe dark web, atacatorii au injectat software rău intenționat în sistemul IT al conductei, criptându-le rețeaua de facturare și ținându-i ostatici. Apoi au mers mai departe pentru a fura aproximativ 100 de gigaocteți de date și au cerut o răscumpărare plătită în Bitcoin în schimbul decriptării.

Cum s-au scurs numele de utilizator și parola menționate pe dark web? Nimeni nu era sigur. Dar un posibil vinovat este phishingul, care vizează personalul Colonial Pipeline.

Legate de: Cine s-a aflat în spatele atacului asupra conductei coloniale?

Deși acest atac nu a afectat sistemele mecanice operate digital, efectul ransomware-ului ar fi putut fi mai devastator dacă Colonial Pipeline ar fi riscat operațiuni suplimentare în ciuda atacului cibernetic.

2. Sistemul de alimentare cu apă Oldsmar (Florida)

În cazul sistemului de alimentare cu apă Oldsmar, hackerii au preluat controlul virtual asupra infrastructurii de tratare chimică prin TeamViewer, un software de partajare a ecranului folosit de echipa tehnică.

Odată înăuntru, atacatorul a intrat direct în sistemul de control al tratamentului unității și a crescut nivelul de hidroxid de sodiu adăugat în apă la un nivel toxic – exact de la 100 la 11.100 părți per milion (ppm).

Dacă personalul de serviciu nu ar fi observat această creștere ridicolă a nivelului chimic și ar fi coborât-o la normal, hackerii au vrut să comită crime în masă.

Cum au obținut acești atacatori acreditările TeamViewer pentru a accesa interfața om-mașină de la distanță?

Trebuie să fi exploatat două vulnerabilități din sistemul de control al lui Oldsmar. În primul rând, tot personalul a folosit același ID TeamViewer și aceeași parolă pentru a accesa sistemul piratat. În al doilea rând, software-ul sistemului era depășit deoarece funcționa pe Windows 7, despre care Microsoft a spus că este mai vulnerabil la atacurile malware din cauza întreruperii suportului.

Hackerii trebuie să fi pătruns cu forța brută sau să fi adulmecit sistemul învechit folosind malware.

3. Centrale electrice din Ucraina

Aproximativ 225.000 de oameni au fost aruncați în întuneric după ce sistemul de rețea electrică ucraineană a suferit în urma unui atac cibernetic în decembrie 2015. De data aceasta, atacatorii au folosit BlackEnergy, un malware versatil de control al sistemului, pentru a-și atinge scopul.

Dar cum au găsit o modalitate de a injecta acest malware într-o instalație industrială atât de mare?

Hackerii au lansat mai devreme o campanie masivă de phishing înainte de atac. E-mailul de phishing i-a înșelat pe angajați să facă clic pe un link care i-a determinat să instaleze un plugin rău intenționat deghizat în Macro-uri.

Pluginul menționat i-a permis botului BlackEnergy să infecteze sistemul de rețea cu succes prin acces din backdoor. Hackerii au obținut apoi acreditări VPN care permit personalului să controleze sistemul de rețea de la distanță.

Odată înăuntru, hackerii și-au luat timp să monitorizeze procesele. Și când au fost gata, au deconectat personalul de la toate sistemele, au preluat controlul asupra procesorului de control de supraveghere și achiziție de date (SCADA). Apoi au dezactivat puterea de rezervă, au închis 30 de substații electrice și au folosit atacuri de refuz de serviciu pentru a preveni rapoartele de întrerupere.

4. Atacul Tritonului

Triton este un script malware care vizează în primul rând sistemele de control industrial. Forța sa s-a simțit când, în 2017, un grup de hackeri l-au injectat în ceea ce experții credeau a fi o centrală petrochimică din Arabia Saudită.

Acest atac a urmat, de asemenea, tiparul de phishing și probabila forțare brută a parolelor pentru a obține acces inițial în backdoor în sistemele de control înainte de a injecta malware.

În urma acesteia, hackerii au obținut acces de la distanță la stația de lucru cu sistemul instrumentat de siguranță (SIS) pentru a preveni raportarea corectă a erorilor.

Legate de: Ce este un hack pentru lanțul de aprovizionare și cum poți rămâne în siguranță?

Cu toate acestea, se părea că atacatorii aflau doar cum funcționează sistemul înainte de a lansa un atac real. În timp ce hackerii s-au deplasat și au modificat sistemul de control, întreaga fabrică s-a oprit, datorită unor sisteme de siguranță care au activat un sistem de siguranță.

5. Atacul Stuxnet

Stuxnet este un vierme de computer destinat în principal controlerelor logice programabile (PLC) din instalațiile nucleare. Viermele, dezvoltat de echipa comună din SUA și Israel, călătorește prin USB flash cu o afinitate pentru sistemul de operare Windows.

Stuxnet funcționează prin preluarea sistemelor de control și modificarea programelor existente pentru a induce deteriorarea PLC-urilor. În 2010, a fost folosit ca armă cibernetică împotriva unei instalații de îmbogățire a uraniului din Iran.

După ce a infectat peste 200.000 de computere din cadrul instalației, viermele a reprogramat instrucțiunile de rotire pe centrifuga cu uraniu. Acest lucru i-a făcut să se rotească brusc și să se autodistrugă în acest proces.

6. Uzina de procesare a cărnii JBS

Deoarece profitul este iminent, hackerii nu vor scuti industriile de prelucrare a alimentelor de la expedițiile lor. Motivul financiar i-a determinat pe hackeri să deturneze operațiuni la JBS, cea mai mare fabrică de procesare a cărnii din lume, în iunie 2021.

În consecință, compania a închis toate operațiunile din America de Nord și Australia. Acest lucru s-a întâmplat la câteva săptămâni după atacul conductei coloniale.

Cum a funcționat atacul asupra fabricii industriale JBS?

La fel ca în cazul Colonial Pipeline, atacatorii au infectat sistemul de procesare a cărnii JBS cu ransomware. Ei au amenințat apoi că vor șterge informații importante în cazul în care compania nu plătește o răscumpărare în criptomonedă.

Atacurile cibernetice industriale urmează un model

Deși fiecare dintre aceste atacuri are un plan de acțiune, un model pe care îl putem deduce este că hackerii au trebuit să încalce protocoalele de autentificare pentru a obține intrarea inițială. Ei reușesc acest lucru prin forțare brută, phishing sau sniffing.

Apoi instalează orice malware sau virus în sistemul industrial țintă pentru a-i ajuta să-și atingă obiectivele.

Atacurile cibernetice asupra instalațiilor industriale sunt devastatoare

Atacurile cibernetice sunt în creștere și devin înfricoșător de profitabile pe internet. După cum ați văzut, nu afectează doar organizația vizată, ci se răspândește și asupra oamenilor care beneficiază de produsele sale. Operațiunile mecanice în sine nu sunt vulnerabile la atacurile cibernetice, dar tehnologiile digitale de control din spatele lor le fac vulnerabile.

Acestea fiind spuse, influența sistemelor digitale de control asupra proceselor tehnice este valoroasă. Industriile nu pot decât să-și consolideze firewall-urile și să urmeze reguli stricte de securitate, verificări și echilibrări pentru a preveni atacurile cibernetice.

6 cele mai bune practici de securitate a aplicațiilor web pentru a preveni atacurile cibernetice

Prevenirea atacurilor cibernetice este crucială, iar a fi inteligent în timp ce utilizați aplicații web vă va ajuta să vă protejați online.

Citiți în continuare

Despre autor