Raportul CERT Polska 2025 privind incidentele din sectorul energetic ne reamintește că multe incidente cibernetice nu încep cu tehnici avansate sau exploatări necunoscute. În schimb, ele încep cu vulnerabilități de bază care nu au fost niciodată remediate. Credențiale implicite. Acces nemonitorizat. Jurnale pe care atacatorii le pot șterge. Copii de rezervă care nu includ sistemele care contează cu adevărat.
În mai multe dintre incidentele descrise, atacatorii nu au trebuit să depună eforturi mari. Mediul îi ajuta deja.
Cum s-au concretizat atacurile
Raportul prezintă mai multe incidente în care atacatorii au pătruns prin căi cunoscute. E-mailurile de phishing, atașamentele rău intenționate, site-urile web compromise și serviciile expuse au fost toate puncte de plecare comune. Odată ce un singur punct final a fost compromis, atacatorii s-au concentrat pe mișcarea discretă, folosind instrumente legitime și protocoale standard.
Dispozitivele din rețelele interne erau adesea considerate sigure. Această presupunere s-a dovedit a fi greșită. Echipamentele de rețea, interfețele de gestionare și sistemele operaționale erau uneori implementate cu date de autentificare implicite sau comune. În câteva cazuri, atacatorii nu au avut nevoie de exploatări și pur și simplu s-au autentificat.
Accesul la distanță a jucat, de asemenea, un rol important. Conexiunile VPN nu erau întotdeauna verificate cu atenție, iar controalele de autentificare variau de la un mediu la altul. Odată conectați, atacatorii foloseau sesiuni RDP și partajarea de fișiere SMB pentru a se deplasa lateral, amestecându-se în traficul normal și evitând detectarea imediată.
De ce datele de autentificare implicite reprezintă în continuare unul dintre cele mai mari riscuri
Datele de autentificare implicite rămân unul dintre cele mai ușor de evitat riscuri, însă continuă să apară în incidente reale. Raportul arată clar că acest lucru nu se referă doar la dispozitivele conectate la internet. Sistemele interne, inclusiv componentele OT și serverele de gestionare, au rămas cu date de autentificare neschimbate sau cu acces administrativ extins.
Atacatorii caută mai întâi aceste lacune. Când le găsesc, preiau controlul rapid și în liniște.
Schimbarea datelor de autentificare implicite, limitarea conturilor partajate și impunerea responsabilității pentru accesul privilegiat nu sunt măsuri avansate, ci mai degrabă elemente fundamentale. Atunci când acestea lipsesc, totul devine mai dificil.
Detectarea după execuție este prea târzie
Este important de menționat că, în unele cazuri, instrumentele de securitate pentru dispozitive finale au detectat activități rău intenționate. Acest lucru a contribuit la limitarea pagubelor. Cu toate acestea, detectarea a avut loc adesea după ce malware-ul era deja în funcțiune.
Odată ce malware-ul se execută, atacatorii pot fura datele de autentificare, modifica configurațiile și stabili persistența. În acel moment, răspunsul devine mai complex și mai perturbator.
Raportul subliniază importanța verificării fișierelor înainte de executarea acestora. Atașamentele de e-mail, descărcările și fișierele introduse prin intermediul suporturilor amovibile trebuie scanate și curățate înainte de a ajunge în sistemele operaționale. Oprirea amenințărilor la punctul de intrare reduce necesitatea curățării ulterioare.
Monitorizați ce folosesc efectiv atacatorii
Mai multe incidente descrise în raport au implicat mișcări laterale, mai degrabă decât exploatări spectaculoase: lucruri precum sesiuni RDP între sisteme, partajări SMB utilizate pentru a muta instrumente și mici modificări de configurare care au deschis uși de-a lungul timpului.
Monitorizarea comunicării interne este esențială. Traficul est-vest primește adesea mai puțină atenție decât activitatea pe internet, însă acesta este locul în care atacatorii își petrec cea mai mare parte a timpului odată ce au pătruns în sistem.
Modificările de configurare merită aceeași atenție. Firewall , setările VPN și permisiunile Active Directory nu ar trebui să se modifice în mod silențios. Organizațiile au nevoie de o vizibilitate clară asupra a ceea ce s-a modificat, cine a efectuat modificarea și de ce. Modificările neașteptate sunt adesea primul semn al compromiterii.
Jurnale și copii de rezervă: părțile pe care atacatorii încearcă să le spargă
Raportul arată, de asemenea, modul în care atacatorii vizează procesele de înregistrare și recuperare. În unele incidente, jurnalele au fost șterse sau modificate, încetinind investigațiile și limitând înțelegerea a ceea ce s-a întâmplat.
Jurnalele de audit trebuie transmise către o locație sigură, unde atacatorii nu le pot modifica sau șterge. În mod ideal, jurnalele se deplasează într-o singură direcție. Dacă atacatorii pot șterge jurnalele, pot ascunde urmele lăsate.
Backup-urile necesită același nivel de atenție. Multe organizații fac backup-uri ale configurațiilor, dar neglijează firmware-ul, imaginile complete ale sistemului și starea terminalelor. Atunci când firmware-ul sau fișierele binare ale sistemului sunt compromise, backup-urile configurațiilor nu sunt suficiente. Firmware-ul curat, backup-urile serverelor și imaginile de încredere ale terminalelor sunt esențiale pentru recuperare.
Concluzia reală
Raportul CERT Polska nu descrie eșecurile cauzate de lipsa instrumentelor. Acesta descrie eșecurile cauzate de neglijarea elementelor de bază, cum ar fi:
- Datele de autentificare implicite au fost lăsate în vigoare.
- Accesul la distanță nu este monitorizat în totalitate.
- Jurnalele erau stocate într-un loc accesibil atacatorilor.
- Malware-ul a fost detectat numai după ce a devenit activ.
Este un noroc că unele atacuri au fost detectate înainte de a provoca perturbări majore. Dar norocul nu este un factor de control.
Organizațiile din domeniul energetic trebuie să reducă riscul mai devreme în lanțul de atacuri — înainte ca malware-ul să fie rulat, înainte ca datele de autentificare să fie utilizate în mod abuziv și înainte ca atacatorii să-și poată acoperi urmele. Raportul clarifică un lucru: atacatorii utilizează căi previzibile. Și asta înseamnă că apărătorii le pot bloca.
Aceste remedieri nu sunt exotice, dar sunt urgente.
Nu așteptați ca malware-ul să se execute înainte de a reacționa. Aflați cum OPSWAT MetaDefender previne amenințările la punctul de intrare prin scanarea și curățarea fișierelor înainte ca acestea să ajungă la sistemele dvs. critice.
