ABD’deki bir doğal gaz sıkıştırma tesisinde fidye yazılımı enfeksiyonu tüm boru hattının iki gün kapatılmasına neden oldu.
Saldırıya uğrayan kuruluşun adı ve ne zaman saldırıya uğradığı açıklanmadı. CISA’ya (İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenlik Ajansı) göre, siber saldırı tesisin operasyonel teknoloji (OT) ağındaki kontrol ve iletişim varlıklarını etkiledi.
Bir sıkıştırma tesisi, doğal gazın bir boru hattı yoluyla bir yerden başka bir yere taşınmasına yardımcı olur. Doğal gazın nakliye sırasında yüksek basınç altında olması gerekir ve boru hattı boyunca bulunan sıkıştırma tesisleri basınç altında kalmasını sağlar.
Ajans, saldırganların tesisin BT ağına ilk erişim elde etmek için mızrak avcılığı (Spear Phishing) kullandığını ve daha sonra OT ağına geçmeyi başardıklarını söyledi. Bilgisayar korsanları daha sonra dosyaları hem BT hem de OT ağlarında Windows makinelerine şifreleyen fidye yazılımlarını dağıttılar.
Bu, düşük seviyeli endüstriyel kontrol sistemlerinden (ICS) veri işleyemeyen insan-makine arayüzlerinin (HMI) ve yoklama sunucularının bozulmasına yol açtı. İnsan operatörler süreçleri izleyemedi, ancak CISA, saldırının programlanabilir mantık denetleyicilerini (PLC’ler) etkilemediğini ve hedeflenen kuruluşun operasyonların kontrolünü asla kaybetmediğini söyledi.
Bununla birlikte, mağdur tesis saldırıya operasyonları kapatarak cevap vermeye karar verdi. Fidye yazılımı yalnızca bir tesisi doğrudan etkilemekle birlikte, diğer sıkıştırma tesisleri de boru hattı iletim bağımlılıkları nedeniyle işlemleri askıya almak zorunda kaldı. CISA, olayın yaklaşık iki gün boyunca tüm boru hattı varlığının operasyonel olarak kapatılmasıyla sonuçlandığını söyledi.
CISA’ya göre, mağdur tesisin acil bir müdahale planı vardı, ancak fiziksel güvenliğe odaklıydı ve aldıkları önlemler siber saldırıları kapsamıyordu.
CISA. “Sonuç olarak, acil müdahale egzersizleri de çalışanlara siber saldırılarla başa çıkma konusunda karar verme deneyimi sağlayamadı” dedi Saldırı nedeni olarak “Mağdur tesisin, siber güvenlik bilgisindeki boşlukları ve siber güvenliği acil müdahale planlamasına yeterince dahil etmemesi gösterildi.
Ajans, gaz ve diğer kritik altyapı operatörlerini siber saldırı riski konusunda uyarmak ve tehdidi azaltmak için önerilerde bulunmak için bir bildiri yayınladı .