АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

23 декабря 2024

Кибератаки в энергетическом секторе

Кибератаки на энергетические объекты способы нанести очень серьезный вред. Каждое предприятие уязвимо для кибератак по нескольким направлением. Поэтому в данной отрасли особенно сложно соблюсти баланс между удобством пользователей инфраструктуры, доступностью сервисов и безопасностью. Экспертно-аналитический центр InfoWatch в этом дайджесте приводит примеры кибератак на энергетический сектор (электроэнергетика и нефтегазовые предприятия).

Энергетическая отрасль отличается большой поверхностью для воздействия киберпреступников. Каждая точка на всем протяжении энергетического континуума требует серьезной защиты, так как обладает потенциальной уязвимостью: нефтяные и газовые платформы, генерирующие станции, распределительные сети, трубопроводы, цепочка партнеров и т.д.

Киберпреступники, одержимые жаждой наживы, становятся все более изобретательными, используют современные средства, поэтому риски для энергетических компаний возрастают. Кроме того, различные отраслевые объекты становятся мишенью для хактивистов — как внутренних, так и представляющих иностранные государства. Атаки на энергетические компании используются в рамках широких геополитических операций и могут нанести серьезный ущерб здоровью и безопасности людей, а также экономике и национальной безопасности.

Согласно выводам исследования Cyber Priority от компании DNV, 78% специалистов в области энергетики сообщили, что в условиях геополитической неопределенности вырос их уровень осведомленности о потенциальных уязвимостях в системах. Это отражает повышенную обеспокоенность по поводу спонсируемых государствами и политически мотивированных угроз.

В мае 2023 г. крупнейшая в истории Дании кибератака на энергетическую инфраструктуру затронула 22 компании. Во время первой волны атак злоумышленники атаковали 16 компаний, используя уязвимости в межсетевых экранах Zyxel. Хакерам удалось закрепиться в сетях своих жертв, взяв брандмауэры под контроль с помощью внедрения вредоносного кода. Но киберпреступников удалось остановить, прежде чем они смогли проникнуть в критическую важную инфраструктуру. По данным исследователей за этой атакой стояла группировка Sandworm. Хотя компания Zyxel еще в апреле 2023 г. выпустила патчи для закрытия уязвимости, не все компании успели установить обновления. Вторая волна атак началась в конце мая и, вероятно, была осуществлена другой хакерской группировкой. В этом случае злоумышленники смогли сделать целевую инфраструктуру частью ботнета Mirai. Доступ к межсетевым экранам датских энергетических компаний был использован для DDoS-атак на ряд целей в США и Гонконге. Возможно, хакеры использовали две уязвимости «нулевого дня» в ПО для управления продуктами Zyxel. Датские компании были вынуждены разорвать интернет-соединения и на время перевели системы на работу в автономном режиме.

Согласно отчету компании Sophos, 49% инцидентов на предприятиях из сферы энергетики и нефтегаза случились в результате эксплуатации уязвимости, что делает это основной точкой входа для киберпреступников. Еще 27% атак были вызваны использованием скомпрометированных учетных данных, 14% атак произошли в результате рассылки вредоносных писем.

Канадский энергетический гигант Suncor Energy в июле 2023 г. сообщил, что его дочерняя компания Petro-Canada подверглась кибератаке. Неизвестные лица взломали ее сеть примерно 21 июня. Хакеры получили доступ к программе лояльности Petro-Points. Suncor не раскрыла данные о количестве пострадавших клиентов, но призналась, что инцидент на некоторое время нарушил процесс платежей поставщикам. Клиенты не могли оплачивать покупки по дебетовым и кредитным картам во многих точках Petro-Canada, которая насчитывает более 1500 заправочных станций. Кроме того, атака вызвала проблемы на мойках компании.

Коста-риканская государственная энергетическая компания Refinadora Costarricense de Petróleo (RECOPE) в конце ноября 2024 г. выявила инцидент информационной безопасности. В результате использования вредоносного ПО хакеры вывели из строя ряд информационных систем. В частности, была прекращена работоспособность системы платежей за топливо. Некоторое время компания отпускала нефтепродукты в ручном режиме. За помощью в ликвидации последствий инцидента RECOPE была вынуждена обратиться к киберэкспертам из США.

Румынский поставщик электроэнергии Electrica Group незадолго до конца 2024 года подвергся атаке с использованием вируса-вымогателя. Системы SCADA не были затронуты в ходе инцидента, но компания сообщила, что при ликвидации его последствий в рамках обслуживания потребителей могли быть сбои в других системах. Electrica Group смогла обеспечить безопасность персональных данных клиентов и собственных операционных данных.

Но далеко не всегда киберинциденты в энергетической сфере заканчиваются с минимальными потерями. Порой ущерб от действий хакеров может быть весьма ощутимым. Так, транснациональная компания Halliburton, предоставляющая различные услуги для нефтегазовых предприятий, в ноябре сообщила, что ее потери от инцидента с использованием вируса-вымогателя составили порядка 35 млн долларов США. Это следует из квартальной отчетности. Ущерб может вырасти. Инцидент, о котором идет речь, произошел в августе 2024 г. Злоумышленники проникли в информационные системы Halliburton и похитили ряд данных. Чтобы сдержать распространение инцидента, компании пришлось отключить некоторые системы. В ходе расследования выяснилось, что кибератака была организована группировкой Ransomhub, которая в 2024 году стала одной из самых активных среди операторов вирусов-вымогателей.

Укрепление кибербезопасности требуется по всей цепочке поставок электроэнергии. Каждый поставщик, любое оборудование или информационная система, а также люди могут быть потенциальными целями субъектов угроз. Поэтому каждому предприятию очень важно иметь план реагирования на инциденты, чтобы как можно эффективнее отражать атаки, оперативно восстанавливать работоспособность систем и минимизировать потери.

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>