Ο εφιάλτης όλων των κυβερνήσεων είναι μια κυβερνοεπίθεση σε κρίσιμες υποδομές, που σχετίζονται με τις τηλεπικοινωνίες, την υδροδότηση, την ηλεκτροδότηση. Κι όσο κι αν κάποιοι επιμένουν να θεωρούν ότι αυτά τα σενάρια μπορεί να αντιμετωπίσει κανείς μόνο στις… αίθουσες των κινηματογράφων, η πραγματικότητα έρχεται για να τους διαψεύσει.
Επίθεση σε υποδομές
Μόλις πριν από λίγες ημέρες, μια επίθεση ransomware διέκοψε τη λειτουργία του Oltenia Energy Complex, του μεγαλύτερου παραγωγού ενέργειας με βάση τον άνθρακα στη Ρουμανία, με αποτέλεσμα να κλείσουν τα συστήματα πληροφορικής του.
Το Ενεργειακό Συγκρότημα Oltenia (CE Oltenia) είναι ο κορυφαίος κρατικός παραγωγός ενέργειας από λιγνίτη και άνθρακα στη Ρουμανία, ο οποίος λειτουργεί 12 μονάδες με ισχύ 3.570 MW σε εργοστάσια στο Ροβινάρι, το Τουρτσένι και την Κραϊόβα, καθώς και 15 ορυχεία ανοιχτού λάκκου με ετήσια απόδοση ~15-18 Mt.
Όπως προέκυψε, η εταιρεία εντόπισε μια επίθεση ransomware Gentlemen που κρυπτογράφησε έγγραφα και διέκοψε βασικά συστήματα πληροφορικής, συμπεριλαμβανομένων των ERP, email και του ιστότοπου. Οι λειτουργίες επηρεάστηκαν εν μέρει, αλλά ο ρουμανικός πάροχος ενέργειας τόνισε ότι ο εθνικός ενεργειακός εφοδιασμός παρέμεινε ασφαλής. Το Oltenia Energy Complex απομόνωσε τα συστήματα που επηρεάστηκαν και ειδοποίησε τις αρμόδιες αρχές, συμπεριλαμβανομένης της Εθνικής Διεύθυνσης Κυβερνοασφάλειας, του Υπουργείου Ενέργειας. Οι ομάδες IT άρχισαν να αποκαθιστούν τις υπηρεσίες από αντίγραφα ασφαλείας σε νέα υποδομή, ενώ η έκταση του περιστατικού και τυχόν διαρροή δεδομένων βρίσκονται ακόμη υπό διερεύνηση.
Αυτός δεν ήταν, όμως, ο μοναδικός στόχος στις ρουμανικές υποδομές. Πρόσφατα, η Romanian Waters (Administrația Națională Apele Române), η Αρχή διαχείρισης υδάτων της χώρας, υπέστη επίθεση ransomware. Σύμφωνα με την Εθνική Διεύθυνση Κυβερνοασφάλειας (DNSC), το περιστατικό επηρέασε περίπου 1.000 συστήματα υπολογιστών σε ολόκληρο τον κεντρικό οργανισμό και σε 10 από τα 11 περιφερειακά γραφεία του. Η επίθεση προκάλεσε προβλήματα σε στοιχεία πληροφορικής, συμπεριλαμβανομένων διακομιστών GIS, βάσεων δεδομένων, υπηρεσιών email και web, σταθμών εργασίας Windows και διακομιστών ονομάτων τομέα.
Επιθέσεις σε τράπεζες και αεροπορικές εταιρίες
Σε νεώτερη έκθεση της η Check Point αποκαλύπτει ότι στο στόχαστρο των κυβερνοεγκληματιών έχουν μπει τράπεζες, κυβερνητικοί οργανισμοί, αεροπορικές εταιρίες και μάλιστα ακόμα και στις ΗΠΑ. Ειδικότερα:
- Δύο αμερικανικές τράπεζες, η Artisans’ Bank και η VeraBank, αποκάλυψαν ότι δεδομένα πελατών εκτέθηκαν σε μια επίθεση ransomware στον προμηθευτή τους, Marquis Software. Ο προμηθευτής παραβιάστηκε μέσω της ευπάθειας SonicWall και, ενώ τα συστήματα των τραπεζών δεν παραβιάστηκαν, οι ερευνητές εκτιμούν ότι το περιστατικό μπορεί να έχει επηρεάσει συνολικά έως και 1,35 εκατομμύρια άτομα σε δεκάδες χρηματοπιστωτικά ιδρύματα.
- Η Sedgwick Government Solutions, με έδρα τις ΗΠΑ, η οποία διαχειρίζεται αξιώσεις, την υγεία του εργατικού δυναμικού, τους κινδύνους και την παραγωγικότητα για κυβερνητικές υπηρεσίες και ομοσπονδιακούς υπαλλήλους, αντιμετώπισε ένα περιστατικό κυβερνοασφάλειας. Το περιστατικό περιοριζόταν σε ένα απομονωμένο σύστημα μεταφοράς αρχείων, χωρίς στοιχεία πρόσβασης σε διακομιστές αξιώσεων.
- Η Korean Air, η νοτιοκορεατική αεροπορική εταιρεία, υπέστη παραβίαση δεδομένων μέσω της KC&D Service, μιας εταιρείας που διαχειρίζεται την τροφοδοσία εν πτήσει και τα αφορολόγητα είδη. Το περιστατικό αποκάλυψε προσωπικά δεδομένα περίπου 30.000 υπαλλήλων, συμπεριλαμβανομένων ονομάτων και αριθμών τραπεζικών λογαριασμών, ενώ οι πληροφορίες των πελατών δεν επηρεάστηκαν. Η Cl0p ανέλαβε την ευθύνη και φέρεται να εκμεταλλεύτηκε ένα ελάττωμα της Oracle E-Business Suite.
- Η Trust Wallet, μια εταιρεία παροχής πορτοφολιών κρυπτονομισμάτων, αποκάλυψε μια δεύτερη παραβίαση της αλυσίδας εφοδιασμού Shai-Hulud της επέκτασης Chrome, με αποτέλεσμα ζημίες περίπου 8,5 εκατομμυρίων δολαρίων. Χρησιμοποιώντας ένα διαρροή κλειδιού καταστήματος Chrome, οι εισβολείς δημοσίευσαν μια παραβιασμένη έκδοση v2.68, η οποία έκλεβε φράσεις ανάκτησης πορτοφολιών κατά το ξεκλείδωμα.
- Ο Ευρωπαϊκός Οργανισμός Διαστήματος (ESA) επιβεβαίωσε ένα περιστατικό κυβερνοασφάλειας που επηρέασε έναν πολύ μικρό αριθμό εξωτερικών διακομιστών εκτός του εταιρικού του δικτύου. Ο ESA ξεκίνησε εγκληματολογική ανάλυση και εξασφάλισε πιθανώς επηρεαζόμενες συσκευές, αφού ένας απειλητικός φορέας ισχυρίστηκε ότι είχε κλέψει 200 GB πηγαίου κώδικα και διαπιστευτήρια πρόσβασης στα μέσα Δεκεμβρίου.
