Cyberataki na belgijskie i holenderskie porty badane przez prokuratorów
Po ujawnieniu cyberataków na usługi IT różne porty w Holandii i Belgii zgłosiły problemy operacyjne. Jak podaje France24, terminale obsługiwane przez Oiltanking, SEA-Tank i Evos w Gandawie, Antwerpii, Terneuzen i Antwerpii napotykają trudności w swoich systemach operacyjnych.
Rzecznik Evos powiedział, że chociaż ich terminale działają obecnie, w wyniku cyberataku napotykają różne opóźnienia.
„W naszych terminalach w Terneuzen, Gandawie i na Malcie występują zakłócenia w świadczeniu usług IT, co powoduje pewne opóźnienia w realizacji. Wszystkie operacje nadal odbywają się w bezpieczny sposób."
Associated Press została powiadomiona przez Procesuterów w Antwerpii, że rozpoczęło się śledztwo, a sprawa jest badana przez Federalną Jednostkę ds. Przestępczości Komputerowej.
Wiele organizacji zgłosiło problemy z rozładunkiem barek z powodu przejęcia ich oprogramowania, co utrudniło przetworzenie każdego z nich.
Incydenty te zostały zgłoszone po tym, jak firmy naftowe Mabanaft i Oiltanking, niemiecki konglomerat logistyczny Marquard & Bahls Group, przeszły cyberatak, który zablokował ich systemy załadunku i rozładunku.
Według oświadczenia Oiltanking „ogłosili siłę wyższą” i teraz ich terminale pracują z ograniczoną przepustowością.
Jak podaje niemiecka gazeta Handelsblatt, około 233 stacji benzynowych w Niemczech prowadzi ręczne procesy w wyniku cyberataku.
W wewnętrznym raporcie niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (BSI) został powiadomiony, że za cyberatakiem Oiltanking stoi grupa BlackCat zajmująca się oprogramowaniem ransomware .
Brett Callow, analityk zagrożeń z Emsisoft, wspomniał, że możliwe jest, że BlackCat jest rebrandingiem BlackMatter, który sam w sobie jest rebrandem DarkSide.
BlackMatter wcześniej uderzył w japońskiego giganta technologicznego Olympus, ale rzekomo zamknął swoją działalność z powodu presji organów ścigania.
Agencja policyjna Europolu UE oświadczyła, że wiedziała o incydentach i okazała wsparcie władzom. Rzecznik Europolu, Claire Georges, oświadczyła:
„Na tym etapie dochodzenie jest w toku i na delikatnym etapie”
Holenderskie Narodowe Centrum Cyberbezpieczeństwa zobowiązało się do podjęcia działań w razie konieczności i stwierdziło, że atak został „prawdopodobnie popełniony z motywem przestępczym”.
Oficer ds. cyberryzyka w Armis, Andy Norton, stwierdził, że cyberbezpieczeństwo ICS nie istniało od dziesięcioleci, ponieważ nie było potrzebne. Technologia operacyjna i informatyczna były niezależnymi systemami, które nie wymagały połączenia ze sobą. A starsze urządzenia przemysłowe nie łączyły się ze sobą ani z Internetem.
Norton oświadczył:
„To rozłączenie — tak zwana „przerwa powietrzna” — uważano za całe zabezpieczenie, którego potrzebowały systemy OT, oprócz fizycznej kontroli dostępu. Teraz jednak integracja IT/OT staje się normą. Połączone urządzenia przesyłają dane, monitorują sprzęt i procesy oraz wspierają automatyzację linii i inne funkcje Przemysłu 4.0, dzięki czemu szczelina powietrzna nie jest już niezawodną metodą zabezpieczenia OT.”
„Ponieważ OT i IT nadal się łączą, wymagania dotyczące cyberbezpieczeństwa dotyczą teraz ICS w takim samym stopniu, jak sieci korporacyjnych, ale wiele organizacji ma trudności ze znalezieniem odpowiedniego podejścia do ochrony swojej technologii operacyjnej”
„Obiekty, które nie mogą działać bezpiecznie, w każdej chwili mogą zostać wyłączone z sieci. Atak ransomware na obiekt ICS może zatrzymać operacje i ujawnić dane operacyjne i korporacyjne do ciemnej sieci lub całkowicie je zniszczyć”.