Вирус-вымогатель атаковал американского оператора газопровода

В середине февраля 2020 года стало известно, что вирус-вымогатель атаковал американского оператора газопровода и прервал работу компрессионной установки. Дата нападения не сообщается, но даются технические рекомендации для других операторов критически важных объектов инфраструктуры, которые позволят принять соответствующие меры предосторожности.

Согласно отчету американского МВД, инцидент произошел после того, как "хакер использовал фишинг-соединение для получения доступа к информационной сети организации, а затем проник в операционную сеть". Если информационная сеть в основном предназначена для офисной и другой административной работы, то операционная сеть позволяет управлять критически значимым заводским оборудованием и другими производственными операциями.

Получив доступ к операционной сети, злоумышленник запустил вируса-вымогателя, который зашифровывал все доступные данные компании одновременно в информационной и операционной сетях, а затем запросил выкуп. Согласно отчету, вирус не влиял на программируемые логические контроллеры, которые представляют собой небольшие датчики и устройства, напрямую взаимодействующие с заводским оборудованием. Тем не менее, операторы не могли получить доступ к другим данным, что привело к сбою работы.

Оператор трубопровода решил временно прекратить работы в качестве меры предосторожности, чтобы избежать нежелательных инцидентов, хотя аварийный план не требовал обязательного отключения оборудования в случае кибератаки. Деятельность оператора газопровода была остановлена на два дня, после чего работники возобновили деятельность в обычном режиме. Регулирующие органы отметили, что план реагирования объекта на чрезвычайные ситуации основное внимание уделял угрозам физической безопасности, а не кибератакам, поэтому персонал не смог адекватно отреагировать на возникшую ситуацию. Оператор газопровода пообещал пересмотреть свои внутренние процедуры и стандарты.