Fascynuje nas
technologia
 

23 marca 2018

O tym, jak ekspres do kawy zainfekował całe przedsiębiorstwo

Kilka miesięcy temu pracownik pewnego przedsiębiorstwa petrochemicznego opisał ciekawy przypadek ataku na swoją firmę, który został przeprowadzony za pomocą… ekspresu do kawy. Jak do tego doszło? Ekspert ze Stormshield wyjaśnia ten niecodzienny przypadek oraz radzi, w jaki sposób uchronić przedsiębiorstwo przed niespodziewanymi atakami.

Historia brzmi dość niewiarygodnie, jednak wydarzyła się naprawdę. Jeden z pracowników przedsiębiorstwa petrochemicznego, posiadającego kilka swoich fabryk w Europie, postanowił podzielić się w serwisie Reddit opisem niecodziennego ataku na swoją firmę. Do zdarzenia doszło w jednej z lokalnych sterowni przedsiębiorstwa, która nagle przestała działać. Okazało się, że jej komputery zostały zainfekowane oprogramowaniem ransomware. Jak do tego doszło, skoro lokalne zasoby w sterowni nie były podłączone do Internetu?

- Pomimo wymazania pamięci komputerów oraz ich ponownej instalacji, złośliwe oprogramowanie w dalszym ciągu aktywowało się na urządzeniach. Pracownicy, po wnikliwym badaniu sprawy, odkryli, że przyczyną infekcji był… inteligentny ekspres do kawy. Otóż, kilka tygodni wcześniej zainstalowano podłączony do sieci WiFi ekspres, który automatycznie składał zamówienia na kawę w przypadku jej braku. Niestety był on podłączony z lokalną siecią sterowni, a nie z izolowaną siecią WiFi. W ten sposób cyberprzestępcy mogli dostać się do komputerów znajdujących się w pokoju kontrolnym i wprowadzić do urządzeń złośliwe oprogramowanie.

Piotr Kałuża
team leader Stormshield

Jak uchronić przedsiębiorstwo przed atakiem?

Opisany przypadek został częściowo zrealizowany przy pomocy tzw. surface attack, czyli ataku skierowanego na najsłabsze ogniwo w przedsiębiorstwie, dzięki któremu można docelowo przeprowadzić atak na pozostałe komponenty środowiska. Atakujący, przedostając się przez zabezpieczenie brzegu sieci i uzyskując dostęp do komputera w sieci LAN, może dalej eksplorować taką sieć w sposób nieskrępowany przez firewalle i inne urządzenia sieciowe. Jak wskazuje ekspert ze Stormshield, tej sytuacji można było uniknąć przestrzegając podstawowych zasad z zakresu cyberbezpieczeństwa przedsiębiorstwa.

- Analizę ataku pod względem cyberbezpieczeństwa należy przeprowadzić od dołu, czyli od komputerów będących w sterowni. Jeżeli zostałyby one zabezpieczone programem antywirusowym, ten wówczas zatrzymałby rozprzestrzenianie się infekcji. Przed atakiem na przedsiębiorstwo mogłaby uchronić również przeprowadzona uprzednio segmentacja sieci, która pozwoliłaby stworzyć bezpieczne połączenie dla ekspresu do kawy, nie narażając tym samym urządzeń znajdujących się w sterowni. Ponadto, wdrożenie systemów IPS monitorujących ruch sieciowy rozwiązałoby problem i zablokowało zagrożenie już na poziomie przesyłu danych.

Piotr Kałuża

Cyberatak na ekspres mógł spowodować… katastrofę ekologiczną

Cyberatak przeprowadzony na przedsiębiorstwo petrochemiczne mógł zakończyć się tragicznie. Istniało bowiem realne zagrożenie przedostania się infekcji do sieci przemysłowej i wpływania na pracę sterowników PLC i urządzeń przemysłowych. W opinii eksperta ze Stormshield, taka sytuacja mogła doprowadzić do zatrzymania produkcji, poniesienia tym samym ogromnych strat finansowych przez przedsiębiorstwo, a nawet spowodować katastrofę ekologiczną.

- Ataki targetowane na przemysł są coraz chętniej realizowane przez cyberprzestępców. Korzystając z oprogramowania ransomware mogą zażądać opłacenia okupu, przykładowo za odblokowanie dostępu do komputerów, tym samym narazić przedsiębiorstwo na kolejne straty. Dlatego właśnie większość współczesnych firm decyduje się na odpowiednie zabezpieczenie swoich sieci, wdrażając urządzenia typu Next Generation Firewall i UTM, które są odporne na trudne warunki pracy, wykrywają luki w systemach, a także zabezpieczają zaawansowane protokoły przemysłowe przed atakami z zewnątrz.

Piotr Kałuża

Autorem tekstu jest Katarzyna Pilawa

Arkadiusz Bała
specjalista ds. marketingu

Masz pytania?
Skontaktuj się ze mną:
bala.a@dagma.pl
32 793 12 32