En amerikansk naturgasfacilitet har lukket driften i to dage på grund af et ransomware-angreb, der forhindrer personale i at modtage vigtige realtidsdata fra kontrol- og kommunikationsudstyr, meddeler landets Department of Homeland Security, DHS.
Angrebet startede med en phishing-mail, der efter adgang til både OT- og IT-netværket, gjorde det muligt at slukke for begge systemer, som sørger for at kontrol af hele anlægget, skriver Arstechnica.
DHS’ Cybersecurity og Infrastructure Security Agency, CISA, der har undersøgt angrebet, meddeler ikke, hvad det er for en virksomhed, der er blevet ramt af angrebet, men fortæller, at der er tale om et naturgaskomprimeringsanlæg.
Angrebet ramte ikke de programmerbare logiske controllere, der sørger for den faktiske kontrol af anlæggets komprimeringsudstyr.
Anlægget har derfor heller ikke været i hackernes kontrol.
Det ramte dog en del afgørende kontrol- og kommunikationsudstyr, som de ansatte skal bruge for at overvåge anlægget og de fysiske processer, der sker inden i det.
De ansatte var således »ikke længere i stand til at læse og aggregere realtidsdata, der blev rapporteret fra OT-enheder på lavt niveau«.
Kontrolleret nedlukning
Personalet valgte at foretage en kontrolleret nedlunkning af anlægget, hvilket gjorde, at også andre anlæg har været lukket ned, da de er afhængige af det ransomware-ramte anlæg.
Meldingen er derfor, at angrebet ramte »hele pipeline-aktivet«.
En rådgiver fra CISA udtaler, at der er flere sikkerhedshuller i anlæggets systemer, og man har eksempelvis ikke en beredskabsplan, der tager højde for cyberangreb. Det resulterede i, at man var fire timer om at lukke systemet ned.
Desuden var opdelingen mellem OT- og IT-netværk ikke robust nok, hvilke også resulterede i, at man i angrebet kunne krydse OT-IT-grænsen
