Министерство внутренней безопасности США сообщило, что из-за атаки вымогателя неназванный оператор газопровода столкнулся с проблемой: произошел сбой в работе компрессорной установки для природного газа, из-за чего работа оператора оказалась парализована на два дня. Когда именно произошел этот инцидент, не сообщается, но правительство предостерегает других операторов критически важной инфраструктуры, чтобы те не забыли о мерах предосторожности.
По данным Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), инцидент произошел после того, как злоумышленники использовали направленный фишинг по электронной почте для получения первоначального доступа к сети организации, а затем и доступа к ее оперативной сети (сеть с рабочими станциями для управления критически важным заводским оборудованием и другими производственными операциями).
Проникнув в оперативную сеть, злоумышленники развернули вымогательское ПО, которое зашифровало данные компании в обеих сетях (для нанесения максимального ущерба), а потом потребовали выкуп. По информации DHS CISA, атака не повлияла на работу самих программируемых логических контроллеров, которые напрямую взаимодействуют с заводским оборудованием. Однако была нарушена работа человеко-машинных интерфейсов, архивных хранилищ данных, polling-сервера и так далее, из-за чего люди-операторы фактически лишись возможности нормально взаимодействовать с оборудованием, включая упомянутую компрессорную установку.
В итоге, в качестве меры предосторожности оператор газопровода был вынужден временно приостановить работу, хотя аварийный план на случай кибератаки и не требовал обязательного отключения. Простой продлился около двух дней, после чего работу возобновили в штатном режиме.
Интересно, что всего несколько недель назад специалисты компании Dragos опубликовали отчет о новом вымогателе EKANS (или Snake), который как раз создан для атак на промышленные сети и промышленные системы управления, с которыми работают газовые объекты и другая критически важная инфраструктура. К настоящему моменту нет подтверждений того, что именно EKANS атаковал неназванного оператора газопровода.
