Водоочистное сооружение в Северной Дакоте подтвердило, что в марте стало целью атаки программы-вымогателя, согласно отчету The Record от Recorded Future News. Инцидент, раскрытый руководством объекта, подчеркивает сохраняющуюся и растущую угрозу, которую киберпреступные группы представляют для важнейшей гражданской инфраструктуры. Хотя операционные технологические (OT) системы объекта, управляющие физическими процессами, по сообщениям, были изолированы и не скомпрометированы напрямую, атака на его корпоративную ИТ-сеть вызвала серьезные сбои. Это событие является частью тревожной тенденции, когда злоумышленники, использующие программы-вымогатели, все чаще нацеливаются на системы водоснабжения и водоотведения — сектора, которые часто испытывают нехватку ресурсов и исторически недостаточно защищены, что делает их привлекательными целями для вымогательства.
Методология атаки, по-видимому, соответствует распространенной тактике программ-вымогателей. Злоумышленники, вероятно, получили первоначальный доступ через скомпрометированные учетные данные или фишинговое электронное письмо, закрепившись в корпоративной сети. Оттуда они перемещались латерально, развертывая программу-вымогатель для шифрования файлов и нарушения бизнес-процессов. Критически важное решение о разделении сетей OT и ИТ оказалось жизненно важным для предотвращения перехода атаки на системы, непосредственно управляющие очисткой и распределением воды. Это сдерживание, вероятно, позволило избежать потенциального кризиса общественного здравоохранения, но сбой в работе ИТ-систем все же потребовал перехода на ручной, бумажный workflow на несколько дней, наглядно демонстрируя, как даже атаки, не направленные напрямую на OT, могут серьезно повлиять на непрерывность работы критических служб.
Этот инцидент служит суровым напоминанием об уязвимостях в секторе систем водоснабжения и водоотведения (Water and Wastewater Systems, WWS). Многие коммунальные предприятия работают на устаревших системах, имеют ограниченные бюджеты на кибербезопасность и испытывают нехватку квалифицированного персонала, что создает хрупкую систему безопасности. Нормативные рамки, хотя и развиваются, часто не успевают за быстро меняющимся ландшафтом угроз. Атака в Северной Дакоте подчеркивает настоятельную необходимость введения обязательных базовых мер контроля кибербезопасности, увеличения федерального и государственного финансирования для укрепления инфраструктуры, а также усиления обмена разведданными об угрозах между государственными органами и частными операторами.
В ответ на такие угрозы эксперты по кибербезопасности рекомендуют стратегию многоуровневой защиты для объектов критической инфраструктуры. Это включает внедрение надежной сетевой сегментации между средами ИТ и OT, применение строгого контроля доступа и многофакторной аутентификации (MFA), поддержание комплексных и изолированных резервных копий, а также регулярное проведение тренингов по безопасности для всего персонала. Кроме того, разработка плана реагирования на инциденты, адаптированного к уникальным операционным требованиям водоканала, является обязательной. Также крайне важно сотрудничество с такими организациями, как CISA и ФБР, для получения консультаций по угрозам и поддержки в целях повышения устойчивости к изощренным бандам программ-вымогателей, которые рассматривают критическую инфраструктуру как высокодоходную цель.
