Az utóbbi időben kevesebb energiám volt a blogon naprakész posztokban beszámolni a különböző, ICS biztonsági incidensekről, de nem szeretném, ha ezekről egyáltalán nem esne szó, ezért arra az elhatározásra jutottam, hogy új sorozat indul, amiben az adott hónapban bekövetkezett, ICS rendszereket illetve ipari szervezeteket/kritikus infrastruktúrákat érintő kiberbiztonsági incidenseket fogok összegyűjteni. Aztán ha lesz olyan hónap (bár ebben egyre kevésbé hiszek, de majd meglátjuk, jó lenne, ha tévednék), amikor nem jelennek meg információk ilyen incidensekről, akkor egyszerűen nem lesz újabb része ennek a blogposzt-sorozatnak.
Az első rész rögtön két hónapot (2021. októbert és novembert) fog lefedni.
Irán kibertámadásra hivatkozik az üzemanyag-ellátási zavarok okaként
Október végén érkezett a hír a SecurityWeek.com-on illetve a CyberSecurityIntelligence.com-on, ami szerint az Iránban tapasztalt üzemanyag-ellátási problémák hátterében a kormány kibertámadás nyomait találta. Az incidens természetéről nem nagyon vannak információk, így azt sem tudjuk egyelőre, hogy milyen jellegű támadásról van szó és az állami olajvállalat mely rendszereit érintette, volt-e a célpontok között ICS rendszer. Az viszont biztos, hogy súlyos incidensről lehetett szó, mert bár a nemzeti olajtársaság gyorsan megkezdte az üzemzavar utáni helyreállítási munkákat, de több, mint egy nappal később még mindig nem csillapodtak az incidens hatására kialakult ellátási zavarok (ahogy erről a másnapi SecurityWeek cikkben írnak).
Kibertámadás érhette az iráni Mahan Air egyes rendszereit
Még mindig Irán, november 22-én érkezett a hír, hogy az atomprogram miatt hosszú ideje nemzetközi embargó által sújtott iráni légközlekedési szektor egyik, Európában is ismert cége, a Mahan Air szenvedhetett kiberbiztonsági incidenst a hírek szerint.
A támadásért egy magát “Hooshyarane Vatan”-nak nevezett csoport vállalt felelősséget. Érdekessége az esetnek, hogy ennek kapcsán az iráni Fars hírügynökség úgy fogalmazott, hasonló támadások már sokszor érték a Mahan Airt, akik állítják, hogy a támadást gyorsan elhárították és nem volt hatással a cég működésére vagy a járataik indulására illetve érkezésére.
Zsarolóvírus-támadás érte a Toronto-i tömegközlekedési vállalat egyes rendszereit
Még október végén érte ransomware-támadás Toronto tömegközlekedési vállalatának, az Ann Arbor Area Transportation Authority-nek (ismertek még a TheRide néven is) rendszereit. A támadásnak nem volt közvetlen hatása a forgalomirányításra, de a járművezetőkkel történő kommunikációra, utazástervezésre, használt rendszereket, utasinformációs rendszereket és a vállalat belső levelezőrendszerét érintette a támadás.
Az incidenssel kapcsolatos részleteket a CyberScoop cikke tartalmaz.
Clop ransomware-támadás érte a Swire Pacific Offshore tengeri szolgáltató céget
A BleepingComputer hozta le a hírt november 26-án, hogy a Swire Pacific Offshore nevű, jelentős részben az energiaszektornak szolgáltató hajózási cég rendszereit a Clop zsarolóvírus fertőzte meg. A cég nyilatkozata szerint az incidens következtében elvesztettek bizalmas kereskedelmi és személyes adatokat, de a cég szolgáltatásaiban a támadás nem okozott fennakadást.
Kibertámadás érte a Vestas dán szélturbina-gyártó rendszereit
Szintén november 22-i a hír, hogy kibertámadás érte a Vestas nevű dán cég rendszereit. A Vestas egy jelentős gyártója a szélerőművi turbináknak, az USA-ban és Kanadában például 40.000 MW beépített kapacitású erőművekben dolgoznak az általuk gyártott turbinák. A vállalat által indított vizsgálatok jelenleg is folynak, de azt már meg lehetett állapítani, hogy a Vestas IT rendszerein tárolt egyes adatokhoz férhettek hozzá a támadók. Bővebb információk (pl. arról, hogy ransomware-támadásról lehet-e szó és kértek-e már váltságdíjat a támadók) egyelőre nem állnak rendelkezésre, amit még tudunk, az az, hogy a Vestas gyártó-, összeszerelő- és szervíz-tevékenységei az incidens ellenére is tovább folynak.
Az esetről a SecurityWeek, a BleepingComputer és a PortSwigger is írt.
