🤱🏻 👩🏿‍🤝‍👩🏾 ⌨️ Zwei Möglichkeiten, den Ölpreis zu erhöhen, oder Angriffe auf Öl und Gas als Mittel zur Beeinflussung der Aktienindizes 😐 🏿 🤹🏻

2019 - Saudi Aramco , 5% . , (), , Trend Micro «Drilling Deep: A Look at Cyberattacks on the Oil and Gas Industry» . , .

Die Produktionskette eines Öl- und Gasunternehmens umfasst viele Prozesse - von der Erkundung neuer Felder und dem Verkauf von Benzin, das in einen Autotank gegossen wird, bis hin zu Gas, mit dem Mahlzeiten für Stadtbewohner zubereitet werden. Alle diese Prozesse können in drei Teile unterteilt werden:

Untersuchung und Produktion;
Transport und Lagerung;
Verarbeitung und Implementierung.

Ein typisches Ölunternehmen verfügt in seinen „landwirtschaftlichen“ Produktionsstätten über die Förderung von Öl aus Brunnen, Tanklagern für die vorübergehende Lagerung von Rohstoffen und ein Transportsystem für die Lieferung von Rohöl an Raffinerien. Je nach Standort des Bohrlochs kann der Transport über Pipelines, Züge oder Öltanker erfolgen.

Nach der Verarbeitung in der Raffinerie werden die fertigen Produkte in den Tanklagern der Unternehmen gesammelt und dann an die Verbraucher versandt.

Ein typisches Gasproduktionsunternehmen ist ähnlich aufgebaut, aber seine Infrastruktur umfasst auch Kompressorstationen, die das produzierte Gas für den Transport zu einer Abscheidereinheit komprimieren, die wiederum Gas in verschiedene Kohlenwasserstoffkomponenten trennt.

Die wichtigste Aufgabe in der gesamten Produktionskette ist die Überwachung und Kontrolle aller Aspekte, die für Sicherheit, Produktivität und Qualität von Bedeutung sind. Da sich die Brunnen in abgelegenen Gebieten mit extremem Wetter befinden können, ist die Fernsteuerung der Geräte in der Anlage organisiert - mithilfe von Ventilen, Pumpen, Hydraulik und Pneumatik, Not-Aus und Feuerlöschsystemen.

Für solche Systeme ist ihre Verfügbarkeit von entscheidender Bedeutung, da die Überwachungs- und Steuerdaten häufig im Klartext übertragen werden und keine Integritätsprüfungen durchgeführt werden. Dies bietet Angreifern viele Möglichkeiten, Befehle an Aktuatoren zu senden, Sensoren auszutauschen und sogar den Betrieb eines Bohrlochs oder einer gesamten Ölraffinerie zu stoppen.

Die Vielfalt der Infrastrukturkomponenten von Öl- und Gasunternehmen schafft praktisch unerschöpfliche Angriffsmöglichkeiten. Betrachten Sie die gefährlichste von ihnen.

Infrastruktursabotage

Nachdem Angreifer mithilfe einer Phishing-E-Mail in das Unternehmensnetzwerk eingedrungen sind oder eine offene Sicherheitsanfälligkeit ausgenutzt haben, können sie die folgenden Aktionen ausführen, die den Betrieb eines Produktionsstandorts beeinträchtigen oder sogar stoppen können:

Ändern Sie die Einstellungen des automatisierten Steuerungssystems.
Daten löschen oder blockieren, ohne die die Arbeit des Unternehmens nicht möglich ist;
Sensoren fälschen, um Geräte zu deaktivieren.

Solche Angriffe können entweder manuell oder mithilfe von Malware ausgeführt werden, die der Shamoon / Disttrack-Viper ähnelt, die 2012 mehrere Öl- und Gasunternehmen angegriffen hat. Das größte unter ihnen war das bereits erwähnte Unternehmen Saudi Aramco. Infolge des Angriffs wurden mehr als 30.000 Computer und Server 10 Tage lang deaktiviert .

Der Shamoon-Angriff auf Saudi-Aramco wurde von Hacktivisten des bisher unbekannten Cutting Sword of Justice organisiert, um das Unternehmen für „Gräueltaten in Syrien, Bahrain, Jemen, Libanon und Ägypten“ zu bestrafen.

Im Dezember 2018 griff Shamoon die italienische Ölgesellschaft Saipem an und beraubte 300 Server und etwa 100 Computer im Nahen Osten, in Indien, Schottland und Italien. Im selben Monat wurde es bekanntMalware-Infektion durch die Infrastruktur von Petrofac .

Insider-Bedrohungen

Im Gegensatz zu einem externen Angreifer muss ein Insider monatelang nicht die Struktur des internen Netzwerks des Unternehmens untersuchen. Mit diesen Informationen kann ein Insider dem Geschäft eines Unternehmens viel mehr Schaden zufügen als jeder externe Angreifer.

Zum Beispiel kann ein Insider:

Ändern Sie Daten, um Probleme zu verursachen, oder öffnen Sie unbefugten Zugriff darauf.
Daten auf Unternehmensservern, in den öffentlichen Ordnern des Projekts oder an einem beliebigen Ort löschen oder verschlüsseln;
das geistige Eigentum des Unternehmens zu stehlen und es an Wettbewerber zu übertragen;
Organisieren Sie das Durchsickern vertraulicher Unternehmensdokumente, indem Sie diese an Dritte weitergeben oder sogar im Internet veröffentlichen.

DNS-Abfangen

Diese Art von Angriff wird von den fortgeschrittensten Hacker-Gruppen verwendet. Nachdem ein Angreifer Zugriff auf die Verwaltung von Domäneneinträgen erhalten hat, kann er beispielsweise die Adresse einer Unternehmensmail oder eines Webservers in eine von ihm kontrollierte ändern. Das Ergebnis kann der Diebstahl von Unternehmensanmeldeinformationen, das Abfangen von E-Mail-Nachrichten und die Durchführung von „Wasserloch“ -Angriffen sein, bei denen Malware auf den Computern der Besucher einer betrügerischen Website installiert wird.

Um DNS abzufangen, können Hacker nicht den Eigentümer, sondern den Domainnamen-Registrar angreifen. Nachdem sie die Anmeldeinformationen für das Domänenverwaltungssystem kompromittiert haben, haben sie die Möglichkeit, Änderungen an den vom Registrar kontrollierten Domänen vorzunehmen.

Wenn Sie beispielsweise die legitimen DNS-Server des Registrars durch Ihre eigenen ersetzen, können Sie Mitarbeiter und Kunden des Unternehmens problemlos zu Phishing-Ressourcen umleiten, indem Sie deren Adresse anstelle der ursprünglichen Adresse eingeben. Die Gefahr eines solchen Abfangens besteht darin, dass eine qualitativ hochwertige Fälschung die Anmeldeinformationen der Netzwerkbenutzer und den Inhalt der Unternehmenskorrespondenz für lange Zeit an die Angreifer übertragen kann, ohne einen Verdacht zu erregen.

Es gibt sogar Fälle, in denen Angreifer zusätzlich zu DNS die Kontrolle über die SSL-Zertifikate von Unternehmen erlangten , wodurch es möglich wurde, den VPN- und E-Mail-Verkehr zu entschlüsseln.

Webmail-Angriffe und Unternehmens-VPN-Server

Webmail und die gesicherte Verbindung zum Unternehmensnetzwerk über VPN sind nützliche Tools für Mitarbeiter, die remote arbeiten. Diese Dienste vergrößern jedoch die Angriffsfläche und bieten Angreifern zusätzliche Möglichkeiten.

Nachdem Kriminelle einen Webmail-Host gehackt haben, können sie Korrespondenz untersuchen und infiltrieren, um geheime Informationen zu stehlen, oder die Informationen aus Briefen für BEC-Angriffe oder die Einführung von Malware verwenden, um die Infrastruktur zu sabotieren.

Nicht weniger gefährlich sind Angriffe auf Unternehmens-VPN-Server. Im Dezember 2019 nutzten Cyberkriminelle die Sicherheitsanfälligkeit CVE-2019-11510 massiv ausin Pulse Connect Secure und Pulse Police Secure VPN-Lösungen. Dadurch drangen sie in die Infrastruktur von Unternehmen ein, die anfällige VPN-Dienste verwendeten, und stahlen Anmeldeinformationen, um auf Finanzinformationen zuzugreifen. Es wurde versucht, mehrere zehn Millionen Dollar von den Konten abzuheben.

Datenlecks

Vertrauliche Unternehmensdokumente können aus verschiedenen Gründen öffentlich zugänglich gemacht werden. Viele Lecks treten aufgrund von Versehen aufgrund einer falschen Konfiguration von Informationssystemen oder aufgrund der geringen Alphabetisierung der Mitarbeiter auf, die mit diesen Dokumenten arbeiten.

Beispiele:

Speicherung von Dokumenten in einem öffentlichen Ordner auf einem Webserver;
Speicherung von Dokumenten auf einem öffentlichen Dateiserver ohne ordnungsgemäße Zugriffskontrolle;
Sichern von Dateien auf einem öffentlichen unsicheren Server;
Platzieren einer Datenbank mit Verschlusssachen im öffentlichen Bereich.

Für die Suche nach durchgesickerten Dokumenten werden keine speziellen Tools benötigt. Google bietet ausreichend Möglichkeiten. Durch die Suche nach geheimen Dokumenten und Schwachstellen mithilfe von Google-Suchoperatoren - Dorking - können Sie geheime Dokumente von Unternehmen finden, die aus irgendeinem Grund in den Suchindex aufgenommen wurden.

Bild

Ein vertrauliches Dokument der Ölgesellschaft, das über Google Dorks gefunden wurde. Quelle: Trend Micro

Das Problem bei durchgesickerten Dokumenten besteht darin, dass sie häufig Informationen enthalten, die Wettbewerber legal gegen das Unternehmen verwenden, langfristige Projekte beschädigen oder einfach Image-Risiken verursachen können.

Der Laborbericht der Ölgesellschaft, den wir öffentlich entdeckt haben, enthält Informationen über den genauen Standort des Ölteppichs mit Angabe des Schiffes, das die Verschmutzung zugelassen hat. Offensichtlich sind solche Informationen vertraulich und das Unternehmen wollte kaum zulassen, dass sie öffentlich verfügbar sind.

Empfehlungen für Öl- und Gasunternehmen

Angesichts der Komplexität der IT-Landschaft der Öl- und Gasindustrie gibt es keine Möglichkeit, einen absoluten Schutz vor Cyber-Bedrohungen zu bieten, aber die Anzahl erfolgreicher Angriffe kann erheblich reduziert werden. Dazu müssen Sie:

Verschlüsselung des Verkehrs von Sensoren und Steuerungssystemen implementieren - obwohl dies auf den ersten Blick als nicht notwendig erscheint, wird durch die Einführung dieser Maßnahme das Risiko von Angriffen „Mann in der Mitte“ verringert und die Möglichkeit ausgeschlossen, Befehle oder Informationen von Sensoren zu ersetzen.
DNSSEC, DNS;
DNS -;
SSL- — , Common Name , , .
, Google Dorks. , .

Cyber-Angriffe auf den Öl- und Gassektor können als Instrument zur Beeinflussung von Aktienkursen und Angriffen in der realen Welt eingesetzt werden. Dies bedeutet, dass skrupellose Börsenspekulanten die Dienste von Cyberkriminellen nutzen können, um die Kosten für Öl und Gas zu erhöhen und zusätzlichen Gewinn zu erzielen.

Die Wirksamkeit solcher Angriffe kann sich als erheblich höher herausstellen als die Verwendung anderer Tools, z. B. das Stehlen von Geldern von Unternehmenskonten durch Kompromittierung der Geschäftskorrespondenz, da es fast unmöglich ist, die Beziehung zwischen einem Cyberangriff und dem Gewinn aus dem Verkauf von preisgünstigen Futures nachzuweisen.

Unter Berücksichtigung dieser Faktoren wird die Organisation der Cybersicherheit zu einer entscheidenden Aufgabe, um die Stabilität sowohl des Öl- und Gassektors als auch des globalen Kohlenwasserstoffmarktes zu gewährleisten.