1. Атака срещу електрическата мрежа на Украйна (декември 2015 г.)
Същност на атаката:Целенасочена кибератака (зловреден софтуер BlackEnergy)
Въздействие: Първата известна успешна кибератака срещу електрическа мрежа, причиняваща широкомащабно спиране на тока, засягащо приблизително 225 000 души в Украйна.
Подробности: Нападателите са използвали фишинг имейли, за да заразят украинските енергийни компании със зловреден софтуер BlackEnergy, позволяващ дистанционно управление на подстанции. Това доведе до прекъсване на електрозахранването в три регионални електроразпределителни дружества.
Метод: Нападателите дистанционно изключиха електрическите подстанции и унищожиха данни, използвайки злонамерен софтуер KillDisk, за да затруднят възстановяването. Те също така стартираха координирана атака за отказ на услуга (DoS) срещу центрове за обаждания, за да попречат на клиентите да докладват за прекъсванията.
Вероятен източник: Предполагаема руска хакерска група Sandworm (свързана с GRU).
2. Dragonfly / Energetic Bear Campaign (2011–2014)
Същност на атаката: Шпионска кампания, насочена към енергийни фирми
Въздействие: Компрометиране на системите за контрол в енергийни компании в Европа и Северна Америка, с достъп до ICS (Industrial Control Systems).
Подробности: Групата Dragonfly използва фишинг имейли, троянски актуализации на софтуера и атаки, за да достави зловреден софтуер, който предоставя отдалечен достъп до заразени системи. Кампанията също така се фокусира върху кражба на ценна информация за енергийни мрежови системи и ICS/SCADA мрежи.
Метод: Използване на злонамерен софтуер Havex и Karagany за събиране на разузнавателна информация и контрол над системите.
Вероятен източник: Смята се, че е спонсорирана от руска държава група, вероятно с цел кибершпионаж.
3. Атака на Saudi Aramco (август 2012 г.)
Същност на атаката: Разрушителна кибератака (зловреден софтуер Shamoon)
Въздействие: Прекъсване на операциите на Saudi Aramco, изтриване на данни на над 30 000 работни станции и сериозно възпрепятстване на вътрешните операции.
Подробности: Нападателите въведоха зловреден софтуер Shamoon (известен още като Disttrack) в корпоративната мрежа на Saudi Aramco, който презаписа данните на компютрите на компанията с изображение на горящо американско знаме. Въпреки че атаката не засегна производството, на компанията отне седмици да възстанови ИТ инфраструктурата си.
Метод: Зловреден софтуер се разпространява в корпоративната мрежа, изтривайки данни и заменяйки ги с политически натоварени изображения.
Вероятен източник: Заявява се от „Режещия меч на справедливостта“, вероятно политически мотивирана група, свързана с напрежението в Близкия изток.
4. Атака на Colonial Pipeline Ransomware (май 2021 г.)
Същност на атаката: Ransomware атака (група DarkSide)
Въздействие: Спиране на най-големия тръбопровод за гориво в САЩ, прекъсване на доставките на гориво по Източното крайбрежие за няколко дни.
Подробности: Групата за рансъмуер DarkSide получи достъп до мрежите на Colonial Pipeline чрез компрометиран VPN акаунт и криптира данните на компанията, изисквайки плащане на откуп. Тръбопроводът беше спрян като предпазна мярка, причинявайки недостиг на гориво и паническо купуване в няколко щата.
Метод: Използване на рансъмуер за криптиране на файлове и задържането им като заложници срещу плащане. Colonial Pipeline плати откуп от 4,4 милиона долара, но по-късно ФБР върна част от средствата.
Вероятен източник: банда за рансъмуер DarkSide, за която се смята, че действа извън Русия, въпреки че атаката не е пряко свързана с руското правителство.
5. Атака на Triton/Trisis срещу саудитски петрохимичен завод (август 2017 г.)
Същност на атаката: Системи за безопасност при насочване на атаки (зловреден софтуер Triton)
Въздействие: Опит за саботаж на системите за безопасност (SIS) на нефтохимическия завод, което можеше да доведе до катастрофална повреда.
Подробности: Зловреден софтуер Triton е насочен към контролерите Triconex SIS на Schneider Electric, които са проектирани да спират автоматично операции в случай на опасни условия. Атаката беше засечена преди да настъпи каквато и да е физическа щета, но демонстрира потенциала за киберсаботаж в енергийната индустрия.
Метод: Нападателите са получили достъп до SIS контролерите чрез отдалечена връзка и са използвали злонамерения софтуер Triton, за да препрограмират системите за безопасност, потенциално за да причинят опасно състояние.
Вероятен източник: Вероятно спонсорирана от държавата атака, с връзки към Русия.
6. Атака на Industroyer/CrashOverride срещу електрическата мрежа на Украйна (декември 2016 г.)
Същност на атаката: Кибератака върху електрическата мрежа (зловреден софтуер Industroyer/CrashOverride)
Въздействие: Временно спиране на електрозахранването в части от Киев, Украйна, засягащо почти 1/5 от потреблението на електроенергия в града за около час.
Подробности: Нападателите са използвали злонамерен софтуер на Industroyer, който е насочен специално към ICS/SCADA системи, използвани за управление на електрически подстанции. Зловредният софтуер може да изпраща команди директно към мрежовото оборудване, което позволява на нападателите да манипулират превключватели и прекъсвачи в подстанции.
Метод: Модулната архитектура на Industroyer включва полезни товари, предназначени да комуникират с индустриално оборудване чрез стандартни комуникационни протоколи (напр. IEC 104). Освен това имаше модул за чистачки за изтриване на доказателства след извършване на атаката.
Вероятен източник: Приписва се на руски кибер актьори, вероятно свързани с Sandworm.
7. Атака на Hydro Norsk Ransomware (март 2019 г.)
Същност на атаката: Ransomware атака (LockerGoga)
Въздействие: Значително прекъсване на световното производство на алуминий на Norsk Hydro, водещо до очаквани загуби от около 40 милиона долара.
Подробности: Norsk Hydro, глобален производител на алуминий, беше атакуван с рансъмуера LockerGoga, който криптира системи в множество сайтове в Европа и САЩ. Въпреки че беше силно засегнат, компанията отказа да плати откупа и вместо това разчита на резервни копия, за да възстанови своите системи.
Метод: Нападателите разположиха рансъмуер LockerGoga, който криптира файлове и наруши операциите на компанията. Рансъмуерът е известен с липсата на искания за изнудване, показани на засегнатите машини, което усложнява възстановяването.
Приписване: Въпреки че нито един държавен актьор не е пряко замесен, спекулациите предполагат, че атаката може да е била финансово мотивирана.
8. Кибератака на петролните находища на BP Prudhoe Bay (2008)
Същност на атаката: Кибератака, насочена към шпионаж (заразяване със зловреден софтуер)
Въздействие: Няма непосредствено физическо въздействие, но нарушение на данните, свързано с чувствителна оперативна и финансова информация.
Подробности: Хакери проникнаха в ИТ системите на BP в петролното находище Prudhoe Bay в Аляска. Въпреки че не бяха прекъснати физически операции, чувствителната информация за операциите на тръбопроводите и производството на петрол беше компрометирана.
Метод: Използване на зловреден софтуер за кибершпионаж, фокусиран върху извличане на частна информация, свързана с операциите и технологиите на BP.
Вероятен източник: Неясно, но се смята, че е част от по-широка кампания, насочена към енергийни компании за стратегическо икономическо разузнаване.
*Тази статия е авторска собственост на медийната компания EnergyNews.bg. Всяко използване или разпространение на съдържанието е позволено само при условие, че изрично се посочва, че материалът е взаимстван от EnergyNews.bg