Cyberbezpieczeństwo
Rosyjskie grupy „bawią się” polskimi wodociągami
Autor. Telegram cyberprzestępców
Polska automatyka przemysłowa nieustannie pozostaje atrakcyjnym celem dla cyberprzestępców z Rosji. W przeszłości grupy celowały m.in. w oczyszczalnie ścieków. Tym razem opublikowano nagrania, które mają pochodzić z polskich stacji uzdatniania wody.
To nie pierwszy taki incydent. W kwietniu zeszłego roku informowaliśmy o ataku na oczyszczalnie ścieków w Wydminach. Pół roku później na celowniku cyberprzestępców znalazła się oczyszczalnia ścieków w Kuźnicy oraz najprawdopodobniej kotły do spalania pelletu. Należy podkreślić, że dotychczas nie odnotowano skutków wspomnianych incydentów na działanie polskiej infrastruktury krytycznej, zaś same ataki najprawdopodobniej mają wymiar propagandowy.
Stacje uzdatniania wody
Tym razem cyberprzestępcy udostępnili nagrania z manipulowania parametrami trzech stacji uzdatniania wody (SUW). Filmy zostały opublikowane pomiędzy 28 a 30 stycznia br. na kanale na Telegramie jednej z grup. Zaatakowane SUW-y znajdują się w Tolkmicku (pow. elbląski), Małdytach (pow. ostródzki) i Sierakowie. Ostatnia lokalizacja nie można być precyzyjnie określona, ponieważ w Polsce mamy 9 wsi o takiej nazwie.
Autor. Telegram cyberprzestępców
Zmiana wartości, numery telefonów oraz neonazistowskie symbole
Działania rosyjskich cyberprzestępców były praktycznie identyczne do tych, które podejmowali w przeszłości wobec innych obiektów. Ich głównymi „osiągnięciami” są ustawienie wszystkich możliwych parametrów na maksymalne wartości oraz wyłączanie wybranych funkcji urządzeń.
Autor. Telegram cyberprzestępców
Na udostępnionych filmach możemy również dostrzec dwa numery telefonów. Cyberprzestępcy ustawili również PIN-y dostępowe do urządzeń na wartość „1488” – ta liczba jest neonazistowskim symbolem, znanym powszechnie jako „czternaście słów” (ang. fourteen words).
Autor. Telegram cyberprzestępców
Kolejne urządzenie
Jako ostatni post zamieszczono wpis o ataku na „dużą oczyszczalnię ścieków”. Nagranie nie pozwala zidentyfikować lokalizacji zaatakowanego urządzenia.
Autor. Telegram cyberprzestępców
Skutki ataków
Obecnie żadna ze stacji uzdatniania wody nie poinformowała o problemach. Warto podkreślić, że w przypadku ataku na oczyszczalnię ścieków w Wydminach nie odnotowano „żadnych skutków dla ludzi i środowiska”, o czym informował CERT Polska na platformie X.
Gdy otrzymaliśmy tę informację w marcu, skontaktowaliśmy się z dotkniętymi podmiotami i firmą wdrażającą te urządzenia. Atak był możliwy przez błędną konfigurację urządzenia dostępnego z internetu. Miał on cel propagandowy i nie spowodował skutków dla ludzi ani środowiska.
— CERT Polska (@CERT_Polska) April 17, 2024
Nie wolno zapominać o tym, że cyberprzestępcom zależy na sukcesie propagandowym. Podczas październikowych ataków celem padły m.in. urządzenia, które najprawdopodobniej nie były używane na masową skalę. Nie należy jednak pomijać tematyki bezpieczeństwa urządzeń OT/ICS, co dobrze pokazują wyżej wymienione ataki.
Skierowaliśmy pytania do podmiotów, których dotyczy incydent. Odpowiedzi zamieścimy w kolejnym artykule.
Zdarzenie zgłosiliśmy również do CERT Polska. Przekazano nam, że podjęto kroki w celu zabezpieczenia atakowanej infrastruktury.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]
Jak odkryto blokady w pociągach Newagu?