Nasir Security atakuje sektor energetyczny Zatoki Perskiej. Celem także dostawcy i zasoby chmurowe - Security Bez Tabu

Nasir Security atakuje sektor energetyczny Zatoki Perskiej. Celem także dostawcy i zasoby chmurowe

Cybersecurity news

Wprowadzenie do problemu / definicja

Sektor energetyczny pozostaje jednym z najważniejszych celów operacji cyberszpiegowskich ze względu na strategiczne znaczenie ropy, gazu, logistyki przemysłowej i infrastruktury krytycznej. Najnowsze ustalenia dotyczące aktywności grupy określanej jako Nasir Security wskazują na kampanię wymierzoną w firmy energetyczne w regionie Zatoki Perskiej, przy czym istotnym elementem działań ma być nie tylko pozyskiwanie danych, ale również wykorzystanie słabości łańcucha dostaw oraz presji informacyjnej.

To połączenie klasycznych technik intruzyjnych z działaniami wpływu zwiększa poziom ryzyka dla operatorów infrastruktury krytycznej. W praktyce zagrożone są nie tylko główne podmioty sektora energii, lecz także firmy inżynieryjne, budowlane, serwisowe i partnerzy odpowiedzialni za bezpieczeństwo przemysłowe.

W skrócie

Nasir Security to grupa obserwowana w kontekście operacji ukierunkowanych na organizacje energetyczne na Bliskim Wschodzie. Z dostępnych analiz wynika, że napastnicy koncentrują się nie tylko na bezpośrednich operatorach infrastruktury, ale także na podmiotach trzecich, które mają dostęp do dokumentacji technicznej, raportów ryzyka, harmonogramów prac czy danych kontraktowych.

  • Celem kampanii są zarówno operatorzy infrastruktury, jak i ich dostawcy.
  • Wśród stosowanych technik pojawiają się spear phishing, podszywanie się pod zaufane podmioty oraz przejmowanie danych z publicznie dostępnych usług i zasobów chmurowych.
  • Skradzione materiały mogą posłużyć do przygotowania kolejnych, bardziej precyzyjnych operacji przeciwko środowiskom IT i OT.
  • Ryzyko obejmuje nie tylko wyciek danych, lecz także dezinformację, błędną atrybucję incydentów i presję operacyjną.

Kontekst / historia

Ataki na sektor energetyczny regionu Zatoki Perskiej wpisują się w szerszy, wieloletni trend, w którym infrastruktura krytyczna staje się celem operacji wywiadowczych, sabotażowych i psychologicznych. W warunkach napięć geopolitycznych cyberprzestrzeń służy jednocześnie do pozyskiwania cennych danych oraz do wzmacniania efektu politycznego poprzez selektywne ujawnianie przejętych materiałów.

W tej kampanii szczególnie istotny jest nacisk na ekosystem dostawców. To podejście nie jest nowe, ale w branży energetycznej okazuje się wyjątkowo skuteczne, ponieważ podwykonawcy często posiadają szeroki dostęp do dokumentacji technicznej i procesowej, a jednocześnie dysponują słabszymi mechanizmami ochrony niż główni operatorzy. W efekcie naruszenie po stronie partnera biznesowego może dostarczyć napastnikom wystarczającej wiedzy o architekturze środowiska docelowego bez konieczności bezpośredniego przełamywania jego najważniejszych systemów.

Dodatkowym wyzwaniem pozostaje ostrożna atrybucja. W okresie wzmożonych napięć międzynarodowych rośnie ryzyko operacji typu false flag, manipulacji narracją i wykorzystywania incydentów do budowy określonego przekazu politycznego. Z perspektywy obrońcy ważniejsze od samej etykiety sprawcy są więc obserwowane techniki, procedury i rodzaj informacji, które mogą zostać użyte w kolejnych etapach ataku.

Analiza techniczna

Z technicznego punktu widzenia kampania przypomina wieloetapową operację rozpoznawczo-ekfiltracyjną prowadzoną przeciwko rozszerzonemu łańcuchowi dostaw sektora energetycznego. Wektorem wejścia mają być przede wszystkim ukierunkowane wiadomości phishingowe oraz scenariusze Business Email Compromise. Napastnicy wykorzystują przy tym podszywanie się pod zaufane podmioty i osoby, co zwiększa wiarygodność komunikacji i szansę na przejęcie danych dostępowych lub uzyskanie poufnych informacji.

W warstwie operacyjnej można wyróżnić kilka kluczowych kategorii działań. Pierwszą jest spear phishing służący do uzyskania dostępu początkowego lub przejęcia kont pocztowych. Drugą stanowi impersonacja, czyli tworzenie fałszywej tożsamości partnera handlowego, dostawcy lub pracownika. Trzecią są próby wykorzystania publicznie dostępnych aplikacji i usług, które mogą być błędnie skonfigurowane, niezałatane lub udostępniać zbyt szeroki zakres danych. Czwartą kategorią pozostaje eksfiltracja informacji z magazynów chmurowych i repozytoriów współdzielonych.

Największą wartość dla napastników może mieć nie natychmiastowy wpływ operacyjny, lecz zbudowanie szczegółowego obrazu środowiska technicznego ofiary. Schematy instalacji, raporty oceny ryzyka, dokumentacja bezpieczeństwa, kontrakty serwisowe i dane o komponentach infrastruktury mogą ujawniać zależności między systemami IT i OT, listę kluczowych dostawców, informacje o punktach pojedynczej awarii, dane o urządzeniach o długim czasie wymiany oraz harmonogramy przestojów i prac utrzymaniowych.

  • Rozpoznanie zależności pomiędzy środowiskami IT i OT.
  • Identyfikacja krytycznych dostawców i podwykonawców.
  • Ustalenie słabych punktów infrastruktury oraz ograniczeń operacyjnych.
  • Przygotowanie gruntu pod przyszłe operacje phishingowe, sabotażowe lub zakłócające.

Tego typu działania mogą pełnić funkcję pre-positioningu, czyli przygotowania zasobów i wiedzy niezbędnej do przeprowadzenia kolejnej fazy operacji. Co istotne, organizacja docelowa może błędnie uznać, że nie doszło do włamania do jej systemów, podczas gdy rzeczywisty wyciek nastąpił po stronie zewnętrznego partnera. To znacząco utrudnia wykrywanie incydentu i prawidłową ocenę jego skali.

Konsekwencje / ryzyko

Ryzyko związane z analizowaną kampanią wykracza poza standardowy wyciek danych. W sektorze energetycznym nawet pozornie pasywna kradzież dokumentacji może mieć wymiar operacyjny, ponieważ autentyczne materiały techniczne pomagają przeciwnikowi określić, które elementy infrastruktury są krytyczne, kosztowne do zastąpienia i najbardziej podatne na zakłócenia.

Konsekwencje można podzielić na kilka warstw. Pierwsza to ryzyko wywiadowcze, obejmujące poznanie architektury procesów, relacji biznesowych i szczegółów technicznych. Druga to ryzyko operacyjne, w którym zebrane informacje służą do planowania dalszej infiltracji lub kampanii socjotechnicznych wymierzonych w środowiska OT. Trzecia warstwa dotyczy obszaru biznesowego i prawnego, ponieważ wyciek kontraktów, raportów ryzyka czy dokumentacji projektowej może prowadzić do strat finansowych, sporów regulacyjnych i utraty zaufania partnerów. Czwarta to ryzyko informacyjne, gdy przejęte dokumenty są wykorzystywane selektywnie w celu budowania narracji propagandowej lub wywierania presji psychologicznej.

  • Wysokie ryzyko dotyczy firm współpracujących z licznymi dostawcami o nierównym poziomie dojrzałości bezpieczeństwa.
  • Zagrożone są organizacje przechowujące dokumentację techniczną w chmurze bez ścisłej kontroli uprawnień.
  • Szczególnie podatne pozostają podmioty o ograniczonej widoczności ruchu między IT a OT.
  • Istotnym problemem jest zależność od komponentów o długim czasie dostawy i ograniczonej dostępności.

Rekomendacje

W odpowiedzi na podobne kampanie organizacje z sektora energetycznego powinny przyjąć podejście oparte na odporności całego łańcucha dostaw, a nie wyłącznie na ochronie własnego środowiska. Priorytetem powinno być ograniczenie dostępu do informacji technicznych, lepsza kontrola tożsamości i wykrywanie anomalii w komunikacji biznesowej.

  • Wdrożenie silnego uwierzytelniania wieloskładnikowego dla poczty, VPN, portali dostawców i usług chmurowych.
  • Egzekwowanie zasady najmniejszych uprawnień wobec partnerów i podwykonawców.
  • Klasyfikacja dokumentacji technicznej i ograniczenie jej udostępniania do niezbędnych ról.
  • Regularne przeglądy uprawnień w repozytoriach chmurowych, dyskach współdzielonych i portalach projektowych.
  • Monitorowanie prób podszywania się pod domeny partnerów oraz wdrożenie SPF, DKIM i DMARC.
  • Szkolenia antyphishingowe dla zespołów zakupów, projektów, utrzymania ruchu i współpracy z dostawcami.
  • Ocena bezpieczeństwa dostawców mających dostęp do dokumentacji OT, raportów HSE i planów prac.
  • Segmentacja środowisk IT, OT i usług współdzielonych oraz ograniczenie przepływu dokumentacji między strefami.
  • Prowadzenie threat huntingu pod kątem nietypowej eksfiltracji z usług chmurowych i skrzynek pocztowych.
  • Przygotowanie scenariuszy reagowania na incydenty obejmujących naruszenie po stronie partnera trzeciego.

W środowiskach przemysłowych warto także jasno określić, które dokumenty i zasoby mają najwyższą wartość z punktu widzenia przeciwnika. Dla aktora państwowego lub zaawansowanej grupy cyberszpiegowskiej szczególnie cenne mogą być nie dane osobowe, lecz schematy technologiczne, analizy ryzyka procesowego, listy części zamiennych, konfiguracje urządzeń i informacje o słabych punktach infrastruktury.

Podsumowanie

Kampania przypisywana grupie Nasir Security pokazuje, że współczesne operacje przeciwko sektorowi energetycznemu coraz częściej koncentrują się na słabszych ogniwach ekosystemu, czyli dostawcach, podwykonawcach i współdzielonych zasobach chmurowych. Najważniejszym zagrożeniem nie jest wyłącznie sam wyciek danych, ale możliwość ich wykorzystania do przygotowania kolejnych ataków, działań dezinformacyjnych oraz precyzyjnego rozpoznania infrastruktury krytycznej.

Dla organizacji energetycznych kluczowy wniosek jest jednoznaczny: bezpieczeństwo należy projektować na poziomie całego łańcucha wartości. Ochrona poczty, tożsamości, zasobów chmurowych i dokumentacji technicznej musi iść w parze z oceną ryzyka dostawców oraz ścisłą współpracą między zespołami IT, OT, bezpieczeństwa fizycznego i zarządzania kryzysowego.

Źródła

  1. Security Affairs — https://securityaffairs.com/189865/cyber-warfare-2/pro-iranian-nasir-security-is-targeting-energy-companies-in-the-gulf.html
  2. MITRE ATT&CK, Phishing (T1566) — https://attack.mitre.org/techniques/T1566/
  3. MITRE ATT&CK, Impersonation (T1656) — https://attack.mitre.org/techniques/T1656/
  4. MITRE ATT&CK — https://attack.mitre.org/
  5. MITRE ATT&CK, Data from Cloud Storage (T1530) — https://attack.mitre.org/techniques/T1530/