Get best of the week

Duas maneiras de aumentar o preço do petróleo, ou ataques de petróleo e gás como forma de influenciar os índices de ações

imagem
2019 - Saudi Aramco , 5% . , (), , Trend Micro «Drilling Deep: A Look at Cyberattacks on the Oil and Gas Industry» . , .


A cadeia de produção de uma empresa de petróleo e gás inclui muitos processos - desde explorar novos campos e vender gasolina derramada no tanque de um carro até o gás, que é usado para preparar refeições para os moradores da cidade. Todos esses processos podem ser divididos em três partes:

  • exploração e produção;
  • transporte e armazenamento;
  • processamento e implementação.

Uma empresa de petróleo típica possui em sua “fazenda” instalações de produção para a produção de petróleo de poços, fazendas de tanques para armazenamento temporário de matérias-primas e um sistema de transporte para a entrega de petróleo bruto às refinarias. Dependendo da localização do poço, o transporte pode ser feito por dutos, trens ou navios-tanque.

Após o processamento na refinaria, os produtos acabados são acumulados nas fazendas de tanques das empresas e depois enviados aos consumidores.

Uma empresa típica de produção de gás é estruturada de maneira semelhante, mas sua infraestrutura também inclui estações de compressão que comprimem o gás produzido para o transporte para uma unidade separadora, que por sua vez separa o gás em vários componentes de hidrocarbonetos.

A tarefa mais importante em toda a cadeia de produção é monitorar e controlar tudo o que importa em segurança, produtividade e qualidade. Como os poços podem ser localizados em áreas remotas com condições climáticas extremas, é organizado o controle remoto dos equipamentos da instalação - usando válvulas, bombas, hidráulica e pneumática, sistemas de parada de emergência e de extinção de incêndios.

Para esses sistemas, sua disponibilidade é crucial, porque geralmente os dados de monitoramento e controle são transmitidos de forma clara e as verificações de integridade não são executadas. Isso cria muitas oportunidades para atacantes que podem enviar comandos para atuadores, substituir sensores e até parar a operação de um poço ou de uma refinaria de petróleo inteira.

A variedade de componentes de infraestrutura das empresas de petróleo e gás cria oportunidades praticamente inesgotáveis ​​de ataques. Considere o mais perigoso deles.

Sabotagem de infraestrutura


Tendo penetrado a rede da empresa com a ajuda de um email de phishing ou explorando uma vulnerabilidade aberta, os atacantes poderão executar as seguintes ações que podem prejudicar ou até interromper a operação de qualquer site de produção:

  • modificar as configurações do sistema de controle automatizado;
  • excluir ou bloquear dados sem os quais o trabalho da empresa é impossível;
  • falsificar sensores para desativar o equipamento.

Esses ataques podem ser realizados manualmente ou com a ajuda de malware semelhante ao Shamoon / Disttrack viper, que atacou várias empresas de petróleo e gás em 2012. A maior delas foi a já mencionada empresa Saudi Aramco. Como resultado do ataque , mais de 30 mil computadores e servidores foram desativados por 10 dias .

O ataque Shamoon à Saudi Aramco foi organizado por hacktivistas da Espada da Justiça, anteriormente desconhecida, para punir a empresa por “atrocidades na Síria, Bahrein, Iêmen, Líbano e Egito”.

Em dezembro de 2018, a Shamoon atacou a empresa de petróleo italiana Saipem , retirando 300 servidores e cerca de 100 computadores no Oriente Médio, Índia, Escócia e Itália. No mesmo mês ficou conhecidoinfecção por malware pela infraestrutura da Petrofac .

Ameaças internas


Ao contrário de um invasor externo, um usuário interno não precisa estudar a estrutura da rede interna da empresa por meses. Com essas informações, um insider pode causar muito mais danos aos negócios da empresa do que qualquer invasor externo.

Por exemplo, um insider pode:

  • Modifique os dados para criar problemas ou abrir acesso não autorizado a eles;
  • excluir ou criptografar dados em servidores corporativos, nas pastas públicas do projeto ou em qualquer lugar que ele alcance;
  • roubar a propriedade intelectual da empresa e transferi-la para os concorrentes;
  • organizar o vazamento de documentos corporativos confidenciais transferindo-os para terceiros ou mesmo publicando-os na Internet.

Interceptação de DNS


Esse tipo de ataque é usado pelos grupos de hackers mais avançados. Tendo obtido acesso ao gerenciamento de registros de domínio, um invasor pode, por exemplo, alterar o endereço de um email corporativo ou servidor da web para um endereço por ele controlado. O resultado pode ser o roubo de credenciais corporativas, a interceptação de mensagens de email e a realização de ataques de “buraco d'água”, durante os quais o malware é instalado nos computadores dos visitantes de um site fraudulento.

Para interceptar o DNS, os hackers podem atacar não o proprietário, mas o registrador de nomes de domínio. Tendo comprometido as credenciais do sistema de gerenciamento de domínio, eles têm a oportunidade de fazer alterações nos domínios controlados pelo registrador.

Por exemplo, se você substituir os servidores DNS legítimos do registrador pelos seus, poderá redirecionar facilmente funcionários e clientes da empresa para recursos de phishing emitindo seu endereço em vez do endereço original. O perigo dessa interceptação é que um falso de alta qualidade pode transmitir por um longo tempo aos atacantes as credenciais dos usuários da rede e o conteúdo da correspondência corporativa, sem causar suspeitas.

Existem até casos em que, além do DNS, os invasores ganham controle sobre os certificados SSL das empresas , o que possibilita descriptografar o tráfego de VPN e de email.

Ataques de Webmail e servidores VPN corporativos


Webmail e conexão segura à rede corporativa via VPN são ferramentas úteis para os funcionários que trabalham remotamente. No entanto, esses serviços aumentam a superfície de ataque, criando oportunidades adicionais para os invasores.

Depois de invadir um host de webmail, os criminosos podem estudar a correspondência e se infiltrar para roubar informações secretas ou usar as informações de cartas para ataques BEC ou introduzir malware para sabotar a infraestrutura.

Não menos perigosos são os ataques aos servidores VPN corporativos. Em dezembro de 2019, os cibercriminosos exploraram massivamente a vulnerabilidade CVE-2019-11510nas soluções Pulse Connect Secure e Pulse Police Secure VPN. Por meio dele, eles penetraram na infraestrutura de empresas que usam serviços vulneráveis ​​de VPN e roubaram credenciais para acessar informações financeiras. Tentativas foram feitas para retirar as contas de várias dezenas de milhões de dólares.

Vazamentos de dados


Os documentos confidenciais da empresa podem ser disponibilizados ao público por vários motivos. Muitos vazamentos ocorrem devido à supervisão como resultado de configuração incorreta dos sistemas de informação ou devido ao baixo nível de alfabetização dos funcionários que trabalham com esses documentos.

Exemplos:

  • Armazenamento de documentos em uma pasta pública em um servidor web;
  • Armazenamento de documentos em um servidor de arquivos público sem controle de acesso adequado;
  • Fazendo backup de arquivos em um servidor público não seguro;
  • Colocar um banco de dados com informações classificadas em domínio público.

Para pesquisar documentos vazados, você não precisa de ferramentas especiais, recursos suficientes para o Google. A pesquisa de documentos secretos e vulnerabilidades usando os operadores de pesquisa do Google - dorking - permite encontrar documentos secretos de empresas que, por algum motivo ou outro, foram incluídas no índice de pesquisa.

imagem
Um documento confidencial da empresa de petróleo encontrado no Google Dorks. Fonte: Trend Micro

O problema dos documentos vazados é que eles geralmente contêm informações que os concorrentes podem usar legalmente contra a empresa, danificar projetos de longo prazo ou simplesmente criar riscos de imagem.

O relatório de laboratório da companhia de petróleo, que descobrimos em domínio público, contém informações sobre a localização exata da mancha de óleo com a indicação do navio que permitiu a poluição. Obviamente, essas informações são confidenciais e a empresa dificilmente queria permitir que estivesse disponível ao público.

Recomendações para empresas de petróleo e gás


Dada a complexidade do cenário de TI do setor de petróleo e gás, não há como oferecer proteção absoluta contra ameaças cibernéticas, mas o número de ataques bem-sucedidos pode ser reduzido significativamente. Para fazer isso, você deve:

  1. implementar criptografia do tráfego de sensores e sistemas de controle - embora, à primeira vista, possa parecer que isso não seja necessário, a adoção dessa medida reduzirá o risco de ataques como "homem no meio" e excluirá a possibilidade de substituir comandos ou informações dos sensores;
  2. DNSSEC, DNS;
  3. DNS -;
  4. SSL- — , Common Name , , .
  5. , Google Dorks. , .


Os ataques cibernéticos no setor de petróleo e gás podem ser usados ​​como uma ferramenta para influenciar as cotações de ações junto com os ataques no mundo real, o que significa que especuladores inescrupulosos de ações podem usar os serviços de criminosos cibernéticos para aumentar o custo de petróleo e gás e obter super lucro.

A eficácia de tais ataques pode vir a ser significativamente maior do que o uso de outras ferramentas, por exemplo, roubar fundos das contas da empresa comprometendo a correspondência comercial, já que é quase impossível provar a relação entre um ataque cibernético e lucrar com a venda de futuros com preços altos.

Com esses fatores em mente, a organização da segurança cibernética está se tornando uma tarefa crítica para garantir a estabilidade do setor de petróleo e gás e do mercado global de hidrocarbonetos.

More articles:


All Articles