Atak prorosyjskiej grupy na Polskę. Trafiona m.in. spalarnia odpadów

Na początku października br. informowaliśmy o zaatakowaniu oczyszczalni ścieków w Kuźnicy przez rosyjską grupę cyberprzestępców. Portal isokolka.eu uzyskał od Urzędu Gminy w Kuźnicy informację o tym, że incydent faktycznie miał miejsce.

Teraz wpadliśmy na ciekawy trop, ukazujący nowe ataki. Pomiędzy 11 października a 12 listopada na jednym z kanałów na Telegramie udostępniono filmy pochodzące z pięciu różnych lokalizacji w Polsce.

Październikowe ataki

11 października cyberprzestępcy upublicznili trzy nagrania pochodzące z polskich organizacji. Jedno z nich pokazuje nieuprawniony dostęp do platformy zakupowej wraz z wybranymi produktami oraz fakturami. Niewykluczone, że cyberprzestępcom udało się przejąć kontrolę nad urządzeniem za pomocą zdalnego pulpitu: wskazują na to m.in. polskie banki jako zakładki w przeglądarce.

Dwa pozostałe filmy przedstawiają najprawdopodobniej ustawianie maksymalnych wartości wielu parametrów kotłów. Przynajmniej jeden z nich służy jako spalarnia.

Atak na mieszkanie

12 października na tym samym kanale pojawiło się nagranie, które najprawdopodobniej przedstawia zmianę parametrów grzania wody w mieszkaniu. Ustawiono je na maksymalne możliwe wartości. Pod koniec filmu jedna z temperatur była zbliżona do stu stopni Celsjusza.

Najnowszy atak i jego motywacje

12 listopada na prorosyjskim kanale - mającym rzekomo pochodzić z Indonezji - pojawiło się nagranie z ataku na spalarnię odpadów biomasy lub pochodzenia drzewnego. Według opisu, zaatakowana organizacja ma być zlokalizowana w Warszawie, lecz nie ma na to żadnego potwierdzenia w filmie.

Co ciekawe, cyberprzestępcy twierdzą, że celem padła Polska „ze względu na wspieranie Izraela”.

W jednym z kadrów widać nazwy „EKOMAT” oraz „HENSTER”. Pierwsza z nich to nazwa serii kotłów, a druga to polska firma zajmująca się m.in. automatyką przemysłową. Nie oznacza to jednak, że wspomniane maszyny lub firma są bezpośrednio winne temu incydentowi. Nie wiemy, w jaki sposób cyberprzestępcy uzyskali dostęp do infrastruktury.

Podsumowanie

Automatyka przemysłowa jest atrakcyjnym celem dla cyberprzestępców. W maju br. Rockwell Automation i CISA apelowały o odłączenie urządzeń ICS od internetu. Warto również pamiętać o odpowiedniej konfiguracji pulpitu zdalnego oraz VPN.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].