Jak ekspres do kawy zainfekował całą firmę

Jeden z pracowników przedsiębiorstwa petrochemicznego, posiadającego kilka swoich fabryk w Europie, postanowił podzielić się w serwisie Reddit opisem niecodziennego ataku na swoją firmę. Do zdarzenia doszło w jednej z lokalnych sterowni przedsiębiorstwa, która nagle przestała działać. Okazało się, że jej komputery zostały zainfekowane oprogramowaniem ransomware. Jak do tego doszło, skoro lokalne zasoby w sterowni nie były podłączone do internetu?

"Pomimo wymazania pamięci komputerów oraz ich ponownej instalacji, złośliwe oprogramowanie w dalszym ciągu aktywowało się na urządzeniach. Pracownicy, po wnikliwym badaniu sprawy, odkryli, że przyczyną infekcji był… inteligentny ekspres do kawy. Otóż, kilka tygodni wcześniej zainstalowano podłączony do sieci Wi-Fi ekspres, który automatycznie składał zamówienia na kawę w przypadku jej braku. Niestety, był on podłączony z lokalną siecią sterowni, a nie z izolowaną siecią Wi-Fi. W ten sposób cyberprzestępcy mogli dostać się do komputerów znajdujących się w pokoju kontrolnym i wprowadzić do urządzeń złośliwe oprogramowanie" – tłumaczy atak Piotr Kałuża z Stormshield.

Opisany przypadek został częściowo zrealizowany przy pomocy tzw. surface attack, czyli ataku skierowanego na najsłabsze ogniwo w przedsiębiorstwie, dzięki któremu można docelowo przeprowadzić atak na pozostałe komponenty środowiska. Atakujący, przedostając się przez zabezpieczenie brzegu sieci i uzyskując dostęp do komputera w sieci LAN, może dalej eksplorować taką sieć w sposób nieskrępowany przez firewalle i inne urządzenia sieciowe. Jak wskazuje ekspert ze Stormshield, tej sytuacji można było uniknąć przestrzegając podstawowych zasad z zakresu cyberbezpieczeństwa przedsiębiorstwa.

"Analizę ataku pod względem cyberbezpieczeństwa należy przeprowadzić od dołu, czyli od komputerów będących w sterowni. Jeżeli zostałyby one zabezpieczone programem antywirusowym, ten wówczas zatrzymałby rozprzestrzenianie się infekcji. Przed atakiem na przedsiębiorstwo mogłaby uchronić również przeprowadzona uprzednio segmentacja sieci, która pozwoliłaby stworzyć bezpieczne połączenie dla ekspresu do kawy, nie narażając tym samym urządzeń znajdujących się w sterowni. Ponadto, wdrożenie systemów IPS monitorujących ruch sieciowy rozwiązałoby problem i zablokowało zagrożenie już na poziomie przesyłu danych" – wyjaśnia Piotr Kałuża.

Cyberatak przeprowadzony na przedsiębiorstwo petrochemiczne mógł zakończyć się tragicznie. Istniało bowiem realne zagrożenie przedostania się infekcji do sieci przemysłowej i wpływania na pracę sterowników PLC i urządzeń przemysłowych. W opinii eksperta ze Stormshield, taka sytuacja mogła doprowadzić do zatrzymania produkcji, poniesienia tym samym ogromnych strat finansowych przez przedsiębiorstwo, a nawet spowodować katastrofę ekologiczną.

"Ataki targetowane na przemysł są coraz chętniej realizowane przez cyberprzestępców. Korzystając z oprogramowania ransomware mogą zażądać opłacenia okupu, przykładowo za odblokowanie dostępu do komputerów, tym samym narazić przedsiębiorstwo na kolejne straty. Dlatego właśnie większość współczesnych firm decyduje się na odpowiednie zabezpieczenie swoich sieci, wdrażając urządzenia typu Next Generation Firewall i UTM, które są odporne na trudne warunki pracy, wykrywają luki w systemach, a także zabezpieczają zaawansowane protokoły przemysłowe przed atakami z zewnątrz" – dodaje Kałuża.