De Amerikaanse regering heeft donderdag een cyberbeveiligingsadvies uitgebracht waarin meerdere inbraakcampagnes worden geschetst die van 2011 tot 2018 zijn uitgevoerd door door de staat gesponsorde Russische cyberactoren die gericht waren op de energiesector in de VS en daarbuiten.
“De [Federal Security Service] voerden een campagne in meerdere fasen waarin ze op afstand toegang kregen tot netwerken van de Amerikaanse en internationale energiesector, op ICS gerichte malware implementeerden en bedrijfs- en ICS-gerelateerde gegevens verzamelden en exfiltreerden”, zegt de Amerikaanse regering. zeiwaarbij de aanvallen worden toegeschreven aan een APT-acteur die bekend staat als Energieke Beer.
Daarnaast heeft het ministerie van Justitie opgeladen vier Russische regeringsmedewerkers, waaronder drie officieren van de Russische Federale Veiligheidsdienst en een computerprogrammeur bij het Centraal Wetenschappelijk Onderzoeksinstituut voor Chemie en Mechanica (TsNIIKhM), voor hun rol bij het uitvoeren van de aanvallen op olieraffinaderijen, nucleaire installaties en energiebedrijven .
De vier Russische onderdanen zijn Pavel Aleksandrovitsj Akulov (36), Mikhail Mikhailovich Gavrilov (42), en Marat Valeryevich Tyukov (39), en Evgeny Viktorovich Gladkikh (36). Maar bij het ontbreken van een uitleveringsverdrag tussen de VS en Rusland, is de kans klein dat de vier personen in de VS voor de rechter worden gebracht.
De zeven jaar durende wereldwijde campagne in de energiesector zou hebben geprofiteerd van spear-phishing-e-mails, getrojaanse software-updates en omleidingen naar malafide websites (ook wel watering holes genoemd) om de eerste toegang te krijgen, en deze te gebruiken om trojans voor externe toegang zoals Havex op gecompromitteerde systemen.
De aanvallen op de energiesector, die in twee fasen plaatsvonden, omvatten de implementatie van malware op naar schatting 17.000 unieke apparaten in de VS en in het buitenland tussen 2012 en 2014, naast 3.300 gebruikers bij meer dan 500 Amerikaanse en internationale bedrijven en entiteiten van 2014 tot 2017.
Ook gedetailleerd door de veiligheidsdiensten is een campagne uit 2017 ontwikkeld door cyberactoren die banden hebben met TsNIIKhM met als doel de industriële controlesystemen van een niet nader genoemde olieraffinaderij in het Midden-Oosten te manipuleren door gebruik te maken van een stukje malware genaamd TRITON.
“TRITON is ontworpen om specifiek de Triconex Tricon-veiligheidssystemen van Schneider Electric aan te vallen en is in staat om die systemen te verstoren”, aldus de Cybersecurity and Infrastructure Security Agency (CISA), het Federal Bureau of Investigation (FBI) en het Department of Energy (DOE). .
Gezamenlijk zouden de hackcampagnes duizenden computers hebben uitgekozen, bij honderden bedrijven en organisaties, in ongeveer 135 landen, de FBI zei.
“Het potentieel van cyberaanvallen om de levering van kritieke energiediensten aan ziekenhuizen, huizen, bedrijven en andere locaties die essentieel zijn voor het ondersteunen van onze gemeenschappen te verstoren, zo niet te verlammen, is een realiteit in de wereld van vandaag”, zei de Amerikaanse procureur Duston Slinkard van het District of Kansas. . “We moeten erkennen dat er individuen zijn die actief proberen om schade aan te richten aan het vitale infrastructuursysteem van ons land, en we moeten waakzaam blijven in onze poging om dergelijke aanvallen te verijdelen.”
