Ostatnie doniesienia agencji bezpieczeństwa ujawniają alarmującą eskalację cyberataków na amerykańską infrastrukturę krytyczną. Incydenty te, w tym wykorzystanie narzędzi bezpieczeństwa EDR i systemów PLC, podkreślają rosnące ryzyko operacyjne i finansowe dla kluczowych sektorów.
Eskalacja zagrożeń dla infrastruktury krytycznej
Wspólny komunikat doradczy (CISA Advisory AA23-335A) wydany 1 grudnia 2023 roku przez CISA, FBI, NSA oraz agencje partnerskie z Izraela, Wielkiej Brytanii i Kanady, ostrzegł przed nasileniem cyberataków wspieranych przez Iran. Celem są amerykańskie obiekty infrastruktury krytycznej, w tym:
- Zakłady wodociągowe
- Systemy energetyczne
- Obiekty samorządowe
Ataki te mają na celu spowodowanie zakłóceń operacyjnych. Hakerzy powiązani z Korpusem Strażników Rewolucji Islamskiej (IRGC) wykorzystują systemy dostępne z internetu, w szczególności programowalne sterowniki logiczne (PLC) serii Unitronics Vision oraz produkty SCADA, służące do zarządzania sprzętem przemysłowym. Potwierdzonym przypadkiem było naruszenie bezpieczeństwa Miejskiego Zakładu Wodociągów w Aliquippa w Pensylwanii w listopadzie 2023 roku, gdzie irańscy hakerzy skompromitowali sterownik PLC, zmuszając operatorów do przejścia na sterowanie ręczne.
Handala: Wykorzystanie narzędzi bezpieczeństwa jako broni
Badacze bezpieczeństwa z CheckPoint Research i CrowdStrike zidentyfikowali irańską grupę hakerską Handala jako głównego aktora stojącego za kilkoma głośnymi incydentami. W kwietniu 2025 roku grupa ta przyznała się do ataku na amerykańskiego producenta urządzeń medycznych Stryker. Według doniesień, Handala wykorzystała własne narzędzia Endpoint Detection and Response (EDR) firmy Stryker, rzekomo wdrożenie CrowdStrike Falcon, do zdalnego wyczyszczenia około 8 000 urządzeń pracowników. Chociaż Stryker nie potwierdził publicznie pełnego zakresu naruszenia, złożył formularz 8-K w SEC, informując o „incydencie cyberbezpieczeństwa”.
Wzrost napięć geopolitycznych i cyberwojny
Dyrektor CISA Jen Easterly i Dyrektor ds. Cyberbezpieczeństwa NSA Dave Luber opisali ostatnie ataki na infrastrukturę jako znaczącą eskalację irańskiej taktyki cybernetycznej, bezpośrednio związaną ze wzrostem napięć geopolitycznych. Incydenty takie jak uszkodzenie centrów danych Oracle Cloud i AWS w regionie Zatoki Perskiej przez irańskie ataki rakietowe w kwietniu 2025 roku, wskazują na zacieranie się granicy między wojną cybernetyczną a fizyczną.
Strukturalne luki w obronie
Incydenty w Aliquippa i Stryker uwidaczniają wspólną podatność: systemy krytyczne zarządzane za pośrednictwem narzędzi dostępnych z internetu stają się celami o wysokiej wartości. Wynika to z ich położenia na styku maksymalnej zależności cywilnej i minimalnych inwestycji w obronę. W przypadku Aliquippa, sterowniki PLC Unitronics były wystawione na publiczny internet z niezmienionymi domyślnymi hasłami. W przypadku Stryker, narzędzia EDR, zaprojektowane do ochrony punktów końcowych, stały się mechanizmem masowych zakłóceń po uzyskaniu przez atakujących poświadczeń administracyjnych.
Panujące przekonanie, że warstwowe narzędzia bezpieczeństwa zmniejszają ryzyko, jest podważane. Każde dodatkowe narzędzie zintegrowane ze środowiskiem dostępnym z internetu może być nie tylko tarczą, ale także potencjalną powierzchnią ataku. Atakujący, posiadający wystarczającą motywację i wsparcie państwowe, są w stanie znaleźć luki między architekturą obronną systemu a jego ekspozycją operacyjną szybciej, niż obrońcy są w stanie je załatać. Lekcja z naruszenia Stryker nie polega na niezwykłej wyrafinowaniu irańskich hakerów, lecz na tym, że przepaść między złożonością wdrażanych systemów a zdolnością organizacji do ich zabezpieczenia powiększa się w tempie, którego żadne, nawet najpilniejsze, ostrzeżenie nie jest w stanie spowolnić. W obu przypadkach atakujący nie musieli pokonywać infrastruktury bezpieczeństwa – wystarczyło, że jej użyli.
Materiał opracowany przez redakcję BitBiz na podstawie doniesień rynkowych.
Dodaj komentarz