„Pomimo wymazania pamięci komputerów oraz ich ponownej instalacji, złośliwe oprogramowanie w dalszym ciągu aktywowało się na urządzeniach. Pracownicy, po wnikliwym badaniu sprawy, odkryli, że przyczyną infekcji był… inteligentny ekspres do kawy”.
Bezpieczeństwo w firmie jest niezwykle ważne, tym bardziej że cybeprzestępstwa są dziś skuteczniejsze niż kiedykolwiek, przez co narażone na atak za atakiem przedsiębiorstwa za nieodpowiednie zabezpieczenia muszą coraz więcej płacić. Warto przy tym pamiętać, że system jest tak bezpieczny, jak jego najsłabsze ogniwo, co dość dobitnie pokazała sytuacja z ubiegłego roku, o której w swojej notce przypomniała firma Stormshield.
W erze tzw. inteligentnych urządzeń często zapomina się, że każde z nich może być celem cyberataku. To nie tylko podłączone do sieci komputery (bo te też najczęściej mają takie lub inne oprogramowanie zabezpieczające), ale też smartfony pracowników, roboty czy wszelkiego rodzaju gadżety i akcesoria, takie jak… ekspres do kawy. Nie wspominamy o tym sprzęcie bez powodu, bo to właśnie nim posłużyli się cyberprzestępcy w ubiegłym roku.
W ramach czegoś, co eksperci nazywają „surface attack”, a więc właśnie ataku na najsłabsze ogniwo, inteligentny ekspres do kawy został wykorzystany przez cyberprzestępcę do przedostania się do sieci przedsiębiorstwa i zainfekowania komputerów szkodnikiem typu ransomware. Do incydentu doszło w połowie 2017 roku w jednym z przedsiębiorstw petrochemicznych działających na terenie Starego Kontynentu. Szczegóły znajdziecie w poniższym komentarzu Piotra Kałuży, team leadera Stormshield:
„Pomimo wymazania pamięci komputerów oraz ich ponownej instalacji, złośliwe oprogramowanie w dalszym ciągu aktywowało się na urządzeniach. Pracownicy, po wnikliwym badaniu sprawy, odkryli, że przyczyną infekcji był… inteligentny ekspres do kawy.
Otóż, kilka tygodni wcześniej zainstalowano podłączony do sieci WiFi ekspres, który automatycznie składał zamówienia na kawę w przypadku jej braku. Niestety był on podłączony z lokalną siecią sterowni, a nie z izolowaną siecią WiFi. W ten sposób cyberprzestępcy mogli dostać się do komputerów znajdujących się w pokoju kontrolnym i wprowadzić do urządzeń złośliwe oprogramowanie.
Analizę ataku pod względem cyberbezpieczeństwa należy przeprowadzić od dołu, czyli od komputerów będących w sterowni. Jeżeli zostałyby one zabezpieczone programem antywirusowym, ten wówczas zatrzymałby rozprzestrzenianie się infekcji.
Przed atakiem na przedsiębiorstwo mogłaby uchronić również przeprowadzona uprzednio segmentacja sieci, która pozwoliłaby stworzyć bezpieczne połączenie dla ekspresu do kawy, nie narażając tym samym urządzeń znajdujących się w sterowni. Ponadto, wdrożenie systemów IPS monitorujących ruch sieciowy rozwiązałoby problem i zablokowało zagrożenie już na poziomie przesyłu danych.
Ataki targetowane na przemysł są coraz chętniej realizowane przez cyberprzestępców. Korzystając z oprogramowania ransomware mogą zażądać opłacenia okupu, przykładowo za odblokowanie dostępu do
komputerów, tym samym narazić przedsiębiorstwo na kolejne straty.
Dlatego właśnie większość współczesnych firm decyduje się na odpowiednie zabezpieczenie swoich sieci, wdrażając urządzenia typu Next Generation Firewall i UTM, które są odporne na trudne warunki pracy, wykrywają luki w systemach, a także zabezpieczają zaawansowane protokoły przemysłowe przed atakami z zewnątrz”.
Ataków na urządzenia internetu rzeczy będzie prawdopodobnie coraz więcej. Sprzęt stale podłączony do sieci, a pozbawiony konkretnych zabezpieczeń, to dla cyberprzestępców bardzo atrakcyjny cel (choć nie ostateczny). Warto więc wziąć sobie do serca powyższe słowa i przy zabezpieczaniu systemu zadbać o każdy, nawet najdrobniejszy element, nie lekceważąc przy tym ekspresu do kawy...
Źródło: Stormshield, HackRead. Foto: jarmoluk/Pixabay (CC0)
Komentarze
4Po pierwsze i najważniejsze od tego są vlan'y aby z nich korzystać, osobny vlan na stacje robocze, inny na voip'y i na pozostałe pierdoły.
Druga to czyszczenie i instalacja systemu na kompach... co oni o kopiach zapasowych nie słyszeli?