Amit eddig az „Oiltanking” incidensről tudunk.

Editors' Pick
Yanac

Ismert áldozatok

Oiltanking – német logisztikai vállalat, fő portfóliója a petrokémiai termékek részére terminálok biztosítása, melyekben a különböző kereskedők termékeiket tárolják. Németországban 11 telephelyen biztosít terminálokat, több kisebb-nagyon kereskedő is az ügyfelei közé tartozik, legismertebb a Shell olajipari cég.

A Mabanaft csoport egy olajipari kereskedőcég. Az Oiltankinggel együtt a hamburgi Marquard & Bahls AG group alá tartoznak, mely egyike a világ legnagyobb olajipari vállalatának.

A SEA-Tank Terminal terminálokat üzemeltet Belgiumban és Franciaországban.

A SEA-Invest a SEA-Tank Terminal anyacége, székhelye a belgiumi Ghent. A SEA-Invest világszinten jelen lévő kereskedő, mely kikötői terminálokat üzemeltet az ömlesztett termékek átrakodásához.

Az Evos egy jelentős európai jelenléttel rendelkező vállalat, összesen nyolc helyszínen biztosít tárolókapacitás, összesen 6,3 millió köbméter áru számára.

Evos Malta Ltd. az Evis máltai leányvállalata, ideális helyszínen helyezkedik el, hogy megkönnyítse az Afrikából, Ázsiából, Csendes Óceáni régióból érkező áruk átrakodását. Összesen 25 tartállyal rendelkezik, melyek fél millió köbméter áru befogadására képesek.

A belga New Fruit Wharf társaság, a SEA-Invest tulajdonában van, egy élelmiszer-logisztikai vállalat, a belga Colruyt élelmiszeripari cég számára biztosít szolgáltatásokat.

A CGT Spa egy olasz nehézgép-kölcsönző cég, mely szolgáltatásokat biztosít többek közt az olajipar számára is.

Támadások

Egy német nyelvű újságcikkben jelent meg először az az tájékoztatás (melyről magyar nyelven először a Yanac számolt be), hogy a német Oiltanking vállalatot kibertámadás érte január 31-én. Ekkor még elszigetelt eseménynek tűnt, a vállalat nem kommunikált a nyilvánosság felé semmit, de a Shell olajipari óriás például megerősítette, hogy egyes szállítmányait kényszerűségből átirányította. Február elsején a Mabanaft sajtónyilatkozatában elismerte, hogy a szárazföldi ellátással kapcsolatban nehézségekbe ütközött.

Február másodikán látott napvilágot a hír, miszerint a Holland-Belga ARA (Amsterdam-Rotterdam-Antwerpen) régióban legalább hat olaj terminál került nehéz helyzetbe a finomított áruk ki- és berakodása során. A hírek szerint az érintett terminálok a SEA-Tank, az Oiltanking és az Evos tulajdonai, melyek székhelyei Antwerpen, Ghent, Amsterdam és Terneuzen.

Szintén február másodikán jelent meg egy hír a BlackCat (ALPHV) zsarolóvírus csoport oldalán, miszerint az olasz CGT Spa-től sikerült érzékeny dokumentumokat megszerezniük.

Sajtóforrások szerint, melyek a német BSI egy belsős anyagára hivatkoznak, az Oiltankingot – a kiszivárgott dokumentum szerint – a BlackCat (ALPHV) zsarolóvírus-csoport támadta meg, míg a SEA-Invest-et a Conti csoport fertőzte meg sikeresen. A többi áldozattal kapcsolatban eddig nem kerültek elő információk az alkalmazott támadóeszközről. Február 07-én a SEA-Invest egyes bizalmas(nak tűnő) dokumentumai már megjelentek a Conti csoport darkwebes oldalán. Ezen kiszivárogtatott dokumentumok egy része 2022 januári dátummal keletkezett, mely megerősítésül szolgál arra vonatozóan, hogy a csoport állítása, miszerint Ők törték fel a vállalat rendszereit, valós.

Érdekes egybeesés, hogy az Oiltanking 2021 október 29-ével véglegesített egy nagyobb volumenű portfólió átadást az Evos részére, mely során az Evos megszerezte az Oiltanking folyékony gáztárolókapacitásának 55%-át. Egyes meg nem erősített spekulációk szerint az Oiltanking, a Mabanaft és az Evos (utóbbi a fenti tranzakciót követően) egyes informatikai rendszerelemei (OT – operational technology) lehet, hogy a mai napig összeköttetésben állnak, így sikerülhetett egy támadással több céget is megbénítani.

Figyelembe véve azt a tényt, hogy a BlackCat és a Conti két, egymással (legalábbis a nyilvánosság előtt) rivalizáló csoport, a szakértők többsége úgy véli, hogy a támadások időzítése gyanúra adhat okot, de a jelenlegi információk alapján nincs összefüggés az esetek között.

Az Evos szóvivője szerint minden telephelyüket érintette a támadás (így került képbe Málta is), ám más, hivatalos máltai források cáfolják, hogy az Evos Malta Ltd. működésében zavar állt volna be.

Következmények

Kisebb fennakadások vannak az európai piacon a kőolaj, benzin és más olajipari termékek ellátásában, több, a támadásban nem érintett ország (Finnország) más forrásokból próbál nyersanyagot beszerezni, de a támadás mértéke nem közelíti meg az amerikai Colonial Pipeline (2021 május eleje) elleni támadás mértékét.

Érdekes tény, hogy a SEA-Invest elleni támadás következményeként a belga Colruyt élelmiszeripari kiskereskedelemi láncban készlethiány alakult ki ananászból és más egzotikus gyümölcsökből.

A belga, holland és német hatóságok nyomoznak az ügyben. A holland kibervédelmi központ (NCSC-NL) közleményében leszögezte, hogy szerintük nincs kapcsolat az esetek között, és a támadások motivációja nem több, mint pusztán anyagi haszonszerzés.

Összegzés

Bár a jelenleg rendelkezésre álló információk mind abba az irányba mutatnak, hogy a január végén, február elején elkövetett támadások egyedi esetek, és nincs köztük kapcsolat, fontos ismét hangot adni az ellátási láncok és a kritikus infrastruktúra biztonságával kapcsolatos aggodalmaknak. Mint a brazil JBS vagy az amerikai Colonial Pipeline esetében is láthattuk, egy ilyen támadás következményei kiszámíthatatlanok, és akár több szektorra is átterjedhetnek. A múltat elemezve, a jelenlegi trendeket felismerve látszik, hogy egyre több támadás ér olyan kritikus infrastruktúraelemet, melyek kiesése egy, vagy akár több ágazatra is hatással lehet, befolyásolhatja a mindennapi emberek életét. Meg kell erősíteni ezen infrastruktúrákat, meg kell erősíteni az IT és OT védelmét, illetve fel kell készülni egy esetleges támadásra, gyakorolni kell a helyreállítási tervet annak érdekében, hogy egy esetleges sikeres támadás után az eredeti állapot visszaállítása minél hamarabb, minél zökkenőmentesen megtörténjen. Az USA-ban a Biden adminisztráció felismerte ezen alapelvek fontosságát, és immár egy egész keretrendszert épített a kormányzati ügynökségek, és kritikus szektorok köré, megkövetelve a nagyobb ellenálló képességet és a fokozottabb biztonságot.

Február 8, 15:21 frissítés:

Az ALPHV csoport egy, a “The Record”-nak adott interjúban megemlítette, hogy -többek közt – “kapcsolatban állnak” a Colonial Pipeline elleni támadást elkövető BlackMatter csoporttal. A csoportok kapcsolatára az “adverts” kifejezést használta a csoport képviselője, de az Emsisoft elemzője ennél tovább ment, és kifejtette meggyőződését, hogy a Black Cat (ALPHV) a BlackMatter inkarnációja.

Források:

https://www.bloomberg.com/news/articles/2022-02-02/european-fuel-terminals-halted-by-it-issues-amid-german-hack
https://www.marketscreener.com/news/latest/Cyberattack-causing-problems-at-ARA-storage-terminals–37725111/
https://www.lemagit.fr/actualites/252511366/Cyberattaque-Inetum-frappe-avec-le-nouveau-ransomware-BlackCat
https://www.tijd.be/ondernemen/transport/Gentse-havenreus-Sea-Invest-geveld-door-cyberaanval/10363549
https://unit42.paloaltonetworks.com/blackcat-ransomware/
https://tweakers.net/nieuws/192808/olieopslagplaatsen-in-terneuzen-en-gent-hebben-vertragingen-na-cyberaanval.html
https://www.ferm-rotterdam.nl/nl/nieuws/blijf-alert-verband-met-cyberaanvallen-op-havengebieden-indicators-compromise-bekend
https://www.demorgen.be/nieuws/havens-van-antwerpen-en-gent-getroffen-door-grootschalige-cyberaanval~b97d986d/?referrer=https%3A%2F%2Ft.co%2F
https://www.tijd.be/ondernemen/transport/gentse-havenreus-sea-invest-geveld-door-cyberaanval/10363549.html
https://www.demorgen.be/nieuws/havens-van-antwerpen-en-gent-getroffen-door-grootschalige-cyberaanval~b97d986d/?referrer=https%3A%2F%2Ft.co%2F
https://www.maltatoday.com.mt/news/europe/114785/malta_oil_terminal_affected_by_cyberattack_on_european_facilities#.Yfz049-xXb1
https://www.bbc.com/news/technology-60250956
https://www.oiltanking.com/en/news-info/press-releases/details/article/oiltanking-completes-sale-of-four-european-terminals-to-evos.html
https://www.nieuwsblad.be/cnt/dmf20220203_93871188
https://www.barrons.com/news/belgium-investigates-cyberattack-on-oil-port-terminals-01643883607?refsec=afp-news
https://therecord.media/string-of-cyberattacks-on-european-oil-and-chemical-sectors-likely-not-coordinated-officials-say/
https://www.theregister.com/2022/02/01/oiltrading/
https://www.ncsc.nl/actueel/nieuws/2022/februari/3/berichten-olie–en-chemiesector
https://therecord.media/an-alphv-blackcat-representative-discusses-the-groups-plans-for-a-ransomware-meta-universe/
https://www.bloomberg.com/news/articles/2022-02-03/-black-cat-ransomware-tied-to-attacks-on-germany-s-fuel-systems