Get best of the week

Dos formas de inflar el precio del petróleo, o los ataques contra el petróleo y el gas como medio para influir en los índices bursátiles

imagen
2019 - Saudi Aramco , 5% . , (), , Trend Micro «Drilling Deep: A Look at Cyberattacks on the Oil and Gas Industry» . , .


La cadena de producción de una compañía de petróleo y gas incluye muchos procesos, desde explorar nuevos campos y vender gasolina vertida en el tanque de un automóvil hasta gas, que se utiliza para preparar comidas para los residentes de la ciudad. Todos estos procesos se pueden dividir en tres partes:

  • exploración y Producción;
  • Transporte y almacenamiento;
  • procesamiento e implementación.

Una compañía petrolera típica tiene en sus instalaciones de producción de "granja" para producir petróleo de pozos, granjas de tanques para el almacenamiento temporal de materias primas y un sistema de transporte para entregar petróleo crudo a las refinerías. Dependiendo de la ubicación del pozo, el transporte puede llevarse a cabo a través de tuberías, trenes o petroleros.

Después del procesamiento en la refinería, los productos terminados se acumulan en las granjas de tanques de las empresas y luego se envían a los consumidores.

Una empresa típica de producción de gas está estructurada de manera similar, pero su infraestructura también incluye estaciones de compresión que comprimen el gas producido para transportarlo a una unidad separadora, que a su vez separa el gas en varios componentes de hidrocarburos.

La tarea más importante en toda la cadena de producción es monitorear y controlar todo lo que importa para la seguridad, la productividad y la calidad. Dado que los pozos pueden ubicarse en áreas remotas con condiciones climáticas extremas, se organiza el control remoto de los equipos en las instalaciones, utilizando válvulas, bombas, sistemas hidráulicos y neumáticos, sistemas de parada de emergencia y extinción de incendios.

Para tales sistemas, su disponibilidad es crucial, porque a menudo los datos de monitoreo y control se transmiten de forma clara y no se realizan verificaciones de integridad. Esto crea muchas oportunidades para los atacantes que pueden enviar comandos a los actuadores, reemplazar sensores e incluso detener la operación de un pozo o una refinería de petróleo completa.

La variedad de componentes de infraestructura de las compañías de petróleo y gas crea oportunidades virtualmente inagotables para los ataques. Considera el más peligroso de ellos.

Sabotaje de infraestructura


Habiendo penetrado en la red de la empresa con la ayuda de un correo electrónico de phishing o explotando una vulnerabilidad abierta, los atacantes podrán llevar a cabo las siguientes acciones que podrían dañar o incluso detener la operación de cualquier sitio de producción:

  • modificar la configuración del sistema de control automatizado;
  • eliminar o bloquear datos sin los cuales el trabajo de la empresa es imposible;
  • falsificar sensores para desactivar equipos.

Tales ataques pueden llevarse a cabo de forma manual o con la ayuda de malware similar a la víbora Shamoon / Disttrack, que atacó a varias compañías de petróleo y gas en 2012. El más grande de ellos fue la compañía ya mencionada Saudi Aramco. Como resultado del ataque , más de 30 mil computadoras y servidores fueron deshabilitados durante 10 días .

El ataque de Shamoon contra Saudi Aramco fue organizado por hacktivistas de la Espada Cortadora de Justicia previamente desconocida para castigar a la compañía por "atrocidades en Siria, Bahrein, Yemen, Líbano y Egipto".

En diciembre de 2018, Shamoon atacó a la compañía petrolera italiana Saipem , desmantelando 300 servidores y cerca de 100 computadoras en Medio Oriente, India, Escocia e Italia. En el mismo mes se supoinfección de malware por la infraestructura de Petrofac .

Amenazas internas


A diferencia de un atacante externo, una persona interna no necesita estudiar la estructura de la red interna de la compañía durante meses. Con esta información, una persona con información privilegiada puede hacer mucho más daño al negocio de una empresa que cualquier atacante externo.

Por ejemplo, una persona con información privilegiada puede:

  • Modificar datos para crear problemas o abrir el acceso no autorizado a ellos;
  • eliminar o cifrar datos en servidores corporativos, en las carpetas públicas del proyecto o en cualquier lugar al que llegue;
  • robar la propiedad intelectual de la empresa y transferirla a la competencia;
  • organice la filtración de documentos corporativos confidenciales transfiriéndolos a terceros o incluso publicándolos en Internet.

Intercepción de DNS


Este tipo de ataque es utilizado por los grupos de hackers más avanzados. Después de obtener acceso a la administración de registros de dominio, un atacante puede, por ejemplo, cambiar la dirección de un correo corporativo o servidor web a uno controlado por él. El resultado puede ser el robo de credenciales corporativas, la intercepción de mensajes de correo electrónico y la realización de ataques de "abrevadero", durante los cuales se instala malware en las computadoras de los visitantes de un sitio fraudulento.

Para interceptar DNS, los piratas informáticos pueden atacar no al propietario, sino al registrador de nombres de dominio. Habiendo comprometido las credenciales para el sistema de administración de dominio, tienen la oportunidad de hacer cualquier cambio en los dominios controlados por el registrador.

Por ejemplo, si reemplaza los servidores DNS legítimos del registrador con los suyos, puede redirigir fácilmente a los empleados y clientes de la empresa a recursos de phishing emitiendo su dirección en lugar de la original. El peligro de tal intercepción es que una falsificación de alta calidad puede transmitir durante mucho tiempo a los atacantes las credenciales de los usuarios de la red y el contenido de la correspondencia corporativa, sin causar sospechas.

Incluso hay casos en que, además del DNS, los atacantes obtuvieron el control sobre los certificados SSL de las empresas , lo que permitió descifrar el tráfico de correo y VPN.

Ataques de correo web y servidores VPN corporativos


El correo web y la conexión segura a la red corporativa a través de VPN son herramientas útiles para los empleados que trabajan de forma remota. Sin embargo, estos servicios aumentan la superficie de ataque, creando oportunidades adicionales para los atacantes.

Habiendo pirateado un host de correo web, los delincuentes pueden estudiar la correspondencia e infiltrarse para robar información secreta, o usar la información de las cartas para ataques BEC o introducir malware para sabotear la infraestructura.

No menos peligrosos son los ataques a servidores VPN corporativos. En diciembre de 2019, los cibercriminales explotaron masivamente la vulnerabilidad CVE-2019-11510en las soluciones Pulse Connect Secure y Pulse Police Secure VPN. A través de él, penetraron en la infraestructura de las empresas que utilizan servicios VPN vulnerables y robaron credenciales para acceder a información financiera. Se hicieron intentos para retirar de las cuentas de varias decenas de millones de dólares.

Fugas de datos.


Los documentos confidenciales de la empresa pueden hacerse públicos por diversos motivos. Muchas fugas ocurren debido a la supervisión como resultado de una configuración incorrecta de los sistemas de información o debido al bajo nivel de alfabetización de los empleados que trabajan con estos documentos.

Ejemplos:

  • Almacenamiento de documentos en una carpeta pública en un servidor web;
  • Almacenamiento de documentos en un servidor de archivos público sin el control de acceso adecuado;
  • Copia de seguridad de archivos en un servidor público inseguro;
  • Colocación de una base de datos con información clasificada en el dominio público.

Para buscar documentos filtrados, no se necesitan herramientas especiales; hay suficientes oportunidades que Google tiene. La búsqueda de documentos secretos y vulnerabilidades con la ayuda de los operadores de búsqueda de Google (dorking) le permite encontrar documentos secretos de compañías que, por alguna razón, se incluyeron en el índice de búsqueda.

imagen
Un documento confidencial de una compañía petrolera encontrado a través de Google Dorks. Fuente: Trend Micro

El problema con los documentos filtrados es que a menudo contienen información que los competidores pueden usar legalmente contra la empresa, dañar proyectos a largo plazo o simplemente crear riesgos de imagen.

El informe de laboratorio de la compañía petrolera, que descubrimos en el dominio público, contiene información sobre la ubicación exacta de la mancha de petróleo con la indicación del buque que permitió la contaminación. Obviamente, dicha información es confidencial y la compañía apenas quería permitir que estuviera disponible públicamente.

Recomendaciones para empresas de petróleo y gas.


Dada la complejidad del panorama de TI de la industria del petróleo y el gas, no hay forma de proporcionar protección absoluta contra las amenazas cibernéticas, pero la cantidad de ataques exitosos puede reducirse significativamente. Para hacer esto, debes:

  1. implementar el cifrado del tráfico de sensores y sistemas de control, aunque a primera vista puede parecer que esto no es necesario, la adopción de esta medida reducirá el riesgo de ataques como "hombre en el medio" y excluirá la posibilidad de sustituir comandos o información de los sensores;
  2. DNSSEC, DNS;
  3. DNS -;
  4. SSL- — , Common Name , , .
  5. , Google Dorks. , .


Los ciberataques en el sector del petróleo y el gas pueden usarse como una herramienta para influir en las cotizaciones de acciones junto con los ataques en el mundo real, lo que significa que los especuladores sin escrúpulos del mercado de valores pueden usar los servicios de los cibercriminales para inflar el costo del petróleo y el gas y obtener ganancias adicionales.

La efectividad de tales ataques puede ser significativamente mayor que el uso de otras herramientas, por ejemplo, robar fondos de las cuentas de la compañía al comprometer la correspondencia comercial, ya que es casi imposible demostrar la relación entre un ataque cibernético y las ganancias de la venta de futuros de alto precio.

Con estos factores en mente, organizar la ciberseguridad se está convirtiendo en una tarea crítica para garantizar la estabilidad tanto del sector de petróleo y gas como del mercado mundial de hidrocarburos.

More articles:


All Articles