การโจมตีทางไซเบอร์ต่อโครงข่ายพลังงานของโปแลนด์กระทบประมาณ 30 แห่ง

การโจมตีที่ประสานกันเมื่อปลายเดือนธันวาคมต่อโครงข่ายพลังงานของโปแลนด์ได้พุ่งเป้าไปที่โรงงานผลิตไฟฟ้าแบบกระจายศูนย์ (DER) หลายแห่งทั่วประเทศ รวมถึงโรงงานผลิตความร้อนและพลังงานร่วม (CHP) และระบบส่งกำลังลมและแสงอาทิตย์ แม้ว่าผู้โจมตีจะประนีประนอมระบบเทคโนโลยีปฏิบัติการ (OT) และสร้างความเสียหายต่ออุปกรณ์สำคัญจนไม่สามารถซ่อมแซมได้ แต่ก็ไม่สามารถทำให้ไฟฟ้าดับได้ทั่วประเทศ คิดเป็น 1.2 GW หรือ 5% ของการจ่ายพลังงานของโปแลนด์ บริษัท Dragos ซึ่งเป็นบริษัทรักษาความปลอดภัยสำหรับโครงสร้างพื้นฐานอุตสาหกรรมที่สำคัญ (OT) และระบบควบคุมอุตสาหกรรม (ICS) ระบุว่ามีสถานที่ที่ได้รับผลกระทบประมาณ 30 แห่ง และสันนิษฐานว่าเป็นการกระทำของกลุ่มแฮกเกอร์ชาวรัสเซียที่รู้จักกันในชื่อ Electrum ซึ่งทับซ้อนกับ Sandworm (APT44)

Severity: วิกฤต

System Impact:

• โครงข่ายพลังงานของโปแลนด์
• โรงงานผลิตไฟฟ้าแบบกระจายศูนย์ (DER) ประมาณ 30 แห่ง
• โรงงานผลิตความร้อนและพลังงานร่วม (CHP)
• ระบบส่งกำลังลมและแสงอาทิตย์
• ระบบเทคโนโลยีปฏิบัติการ (OT) และระบบควบคุมอุตสาหกรรม (ICS)
• อุปกรณ์สื่อสารสำหรับการควบคุมและตรวจสอบระยะไกล
• หน่วยเทอร์มินัลระยะไกล (RTUs)
• อุปกรณ์ปลายทางเครือข่าย (Network Edge Devices)
• ระบบการตรวจสอบและควบคุม
• เครื่องคอมพิวเตอร์ Windows ที่ไซต์งาน DER

Technical Attack Steps:

1. การประนีประนอมระบบที่เปิดเผยและมีช่องโหว่ เช่น ระบบสื่อสารควบคุมการจ่ายพลังงาน, RTUs, อุปกรณ์ปลายทางเครือข่าย, ระบบตรวจสอบและควบคุม, และเครื่อง Windows.
2. ผู้โจมตีแสดงความเข้าใจอย่างลึกซึ้งเกี่ยวกับการติดตั้งและการทำงานของอุปกรณ์เหล่านี้.
3. มีการประนีประนอมการกำหนดค่า RTU และอุปกรณ์ปลายทางเครือข่ายที่คล้ายกันซ้ำๆ ในหลายไซต์.
4. ปิดใช้งานอุปกรณ์สื่อสารในหลายไซต์ ทำให้สูญเสียการตรวจสอบและควบคุมจากระยะไกล.
5. ทำให้การกำหนดค่าของอุปกรณ์ OT/ICS บางอย่างเสียหายจนไม่สามารถกู้คืนได้.
6. ล้างข้อมูล (wipe) บนระบบ Windows ในไซต์ที่ได้รับผลกระทบ.

Recommendations:

Short Term:

• ดำเนินการตอบสนองต่อเหตุการณ์และการจำกัดวงอย่างเร่งด่วนสำหรับสิ่งอำนวยความสะดวกที่ได้รับผลกระทบ.
• ทำการวิเคราะห์ทางนิติเวชเพื่อทำความเข้าใจขอบเขตของการประนีประนอมและเวกเตอร์การโจมตีทั้งหมด.
• แยกส่วนระบบ OT/ICS และเครื่อง Windows ที่ได้รับผลกระทบออกจากเครือข่าย.
• กู้คืนระบบจากข้อมูลสำรองที่ปลอดภัยและผ่านการตรวจสอบ.
• ทบทวนและเสริมสร้างการป้องกันขอบเขตสำหรับโครงสร้างพื้นฐานที่สำคัญ.
• อัปเดตแพตช์ช่องโหว่ที่ทราบในระบบที่เชื่อมต่ออินเทอร์เน็ตโดยทันที.

Long Term:

• ใช้การแบ่งส่วนเครือข่ายที่แข็งแกร่งระหว่างสภาพแวดล้อม IT และ OT/ICS.
• เสริมสร้างการควบคุมการเข้าถึงและการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับระบบสำคัญทั้งหมด.
• ตรวจสอบและรักษาความปลอดภัยจุดเข้าถึงระยะไกลเป็นประจำ.
• ปรับปรุงการแบ่งปันข้อมูลภัยคุกคามภายในภาคพลังงาน.
• พัฒนากลยุทธ์และแผนการตอบสนองต่อเหตุการณ์อย่างครอบคลุมสำหรับสภาพแวดล้อม OT/ICS รวมถึงขั้นตอนการทำงานสำรองด้วยตนเอง.
• ดำเนินการประเมินช่องโหว่และการทดสอบการเจาะระบบบน OT/ICS เป็นประจำ.
• ลงทุนในการตรวจสอบและตรวจจับภัยคุกคามขั้นสูงสำหรับสภาพแวดล้อม OT.
• ฝึกอบรมพนักงานให้มีความตระหนักด้านความปลอดภัยทางไซเบอร์ โดยเฉพาะอย่างยิ่งสำหรับบุคลากร OT.

Source: https://www.bleepingcomputer.com/news/security/cyberattack-on-polish-energy-grid-impacted-around-30-facilities/