การโจมตีที่ประสานกันเมื่อปลายเดือนธันวาคมต่อโครงข่ายพลังงานของโปแลนด์ได้พุ่งเป้าไปที่โรงงานผลิตไฟฟ้าแบบกระจายศูนย์ (DER) หลายแห่งทั่วประเทศ รวมถึงโรงงานผลิตความร้อนและพลังงานร่วม (CHP) และระบบส่งกำลังลมและแสงอาทิตย์ แม้ว่าผู้โจมตีจะประนีประนอมระบบเทคโนโลยีปฏิบัติการ (OT) และสร้างความเสียหายต่ออุปกรณ์สำคัญจนไม่สามารถซ่อมแซมได้ แต่ก็ไม่สามารถทำให้ไฟฟ้าดับได้ทั่วประเทศ คิดเป็น 1.2 GW หรือ 5% ของการจ่ายพลังงานของโปแลนด์ บริษัท Dragos ซึ่งเป็นบริษัทรักษาความปลอดภัยสำหรับโครงสร้างพื้นฐานอุตสาหกรรมที่สำคัญ (OT) และระบบควบคุมอุตสาหกรรม (ICS) ระบุว่ามีสถานที่ที่ได้รับผลกระทบประมาณ 30 แห่ง และสันนิษฐานว่าเป็นการกระทำของกลุ่มแฮกเกอร์ชาวรัสเซียที่รู้จักกันในชื่อ Electrum ซึ่งทับซ้อนกับ Sandworm (APT44)
Severity: วิกฤต
System Impact:
- โครงข่ายพลังงานของโปแลนด์
- โรงงานผลิตไฟฟ้าแบบกระจายศูนย์ (DER) ประมาณ 30 แห่ง
- โรงงานผลิตความร้อนและพลังงานร่วม (CHP)
- ระบบส่งกำลังลมและแสงอาทิตย์
- ระบบเทคโนโลยีปฏิบัติการ (OT) และระบบควบคุมอุตสาหกรรม (ICS)
- อุปกรณ์สื่อสารสำหรับการควบคุมและตรวจสอบระยะไกล
- หน่วยเทอร์มินัลระยะไกล (RTUs)
- อุปกรณ์ปลายทางเครือข่าย (Network Edge Devices)
- ระบบการตรวจสอบและควบคุม
- เครื่องคอมพิวเตอร์ Windows ที่ไซต์งาน DER
Technical Attack Steps:
- การประนีประนอมระบบที่เปิดเผยและมีช่องโหว่ เช่น ระบบสื่อสารควบคุมการจ่ายพลังงาน, RTUs, อุปกรณ์ปลายทางเครือข่าย, ระบบตรวจสอบและควบคุม, และเครื่อง Windows.
- ผู้โจมตีแสดงความเข้าใจอย่างลึกซึ้งเกี่ยวกับการติดตั้งและการทำงานของอุปกรณ์เหล่านี้.
- มีการประนีประนอมการกำหนดค่า RTU และอุปกรณ์ปลายทางเครือข่ายที่คล้ายกันซ้ำๆ ในหลายไซต์.
- ปิดใช้งานอุปกรณ์สื่อสารในหลายไซต์ ทำให้สูญเสียการตรวจสอบและควบคุมจากระยะไกล.
- ทำให้การกำหนดค่าของอุปกรณ์ OT/ICS บางอย่างเสียหายจนไม่สามารถกู้คืนได้.
- ล้างข้อมูล (wipe) บนระบบ Windows ในไซต์ที่ได้รับผลกระทบ.
Recommendations:
Short Term:
- ดำเนินการตอบสนองต่อเหตุการณ์และการจำกัดวงอย่างเร่งด่วนสำหรับสิ่งอำนวยความสะดวกที่ได้รับผลกระทบ.
- ทำการวิเคราะห์ทางนิติเวชเพื่อทำความเข้าใจขอบเขตของการประนีประนอมและเวกเตอร์การโจมตีทั้งหมด.
- แยกส่วนระบบ OT/ICS และเครื่อง Windows ที่ได้รับผลกระทบออกจากเครือข่าย.
- กู้คืนระบบจากข้อมูลสำรองที่ปลอดภัยและผ่านการตรวจสอบ.
- ทบทวนและเสริมสร้างการป้องกันขอบเขตสำหรับโครงสร้างพื้นฐานที่สำคัญ.
- อัปเดตแพตช์ช่องโหว่ที่ทราบในระบบที่เชื่อมต่ออินเทอร์เน็ตโดยทันที.
Long Term:
- ใช้การแบ่งส่วนเครือข่ายที่แข็งแกร่งระหว่างสภาพแวดล้อม IT และ OT/ICS.
- เสริมสร้างการควบคุมการเข้าถึงและการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับระบบสำคัญทั้งหมด.
- ตรวจสอบและรักษาความปลอดภัยจุดเข้าถึงระยะไกลเป็นประจำ.
- ปรับปรุงการแบ่งปันข้อมูลภัยคุกคามภายในภาคพลังงาน.
- พัฒนากลยุทธ์และแผนการตอบสนองต่อเหตุการณ์อย่างครอบคลุมสำหรับสภาพแวดล้อม OT/ICS รวมถึงขั้นตอนการทำงานสำรองด้วยตนเอง.
- ดำเนินการประเมินช่องโหว่และการทดสอบการเจาะระบบบน OT/ICS เป็นประจำ.
- ลงทุนในการตรวจสอบและตรวจจับภัยคุกคามขั้นสูงสำหรับสภาพแวดล้อม OT.
- ฝึกอบรมพนักงานให้มีความตระหนักด้านความปลอดภัยทางไซเบอร์ โดยเฉพาะอย่างยิ่งสำหรับบุคลากร OT.
Share this content: