CISA ostrzega przed cyberatakami na systemy monitorowania zbiorników paliw ATG

Wprowadzenie do problemu / definicja

Amerykańskie agencje federalne ostrzegły przed trwającą aktywnością wymierzoną w internetowo dostępne systemy Automatic Tank Gauge (ATG), służące do monitorowania poziomu paliwa i innych cieczy w zbiornikach magazynowych. Rozwiązania te są wykorzystywane m.in. w sektorze paliwowym, energetycznym, chemicznym, transportowym oraz w innych obszarach infrastruktury krytycznej.

Znaczenie problemu wykracza poza klasyczne cyberbezpieczeństwo. Kompromitacja systemów ATG może wpływać na bezpieczeństwo operacyjne i środowiskowe, ponieważ urządzenia te odpowiadają za alarmowanie, wykrywanie wycieków oraz prezentowanie operatorom danych niezbędnych do bezpiecznej eksploatacji instalacji.

W skrócie

Wspólne ostrzeżenie opublikowane przez amerykańskie służby wskazuje, że atakujący koncentrują się na systemach ATG wystawionych bezpośrednio do internetu oraz na urządzeniach obciążonych znanymi słabościami bezpieczeństwa. Dotyczy to m.in. obejścia uwierzytelniania, wbudowanych poświadczeń, podatności pozwalających na wykonywanie poleceń systemowych, błędów typu SQL injection oraz mechanizmów eskalacji uprawnień.

• celem są publicznie dostępne interfejsy ATG,
• atakujący mogą zmieniać konfigurację sieciową i parametry zbiorników,
• możliwe jest wyłączenie alarmów i zakłócenie widoczności stanu instalacji,
• agencje zalecają natychmiastowe ograniczenie ekspozycji tych systemów na internet.

Kontekst / historia

Komunikat został opublikowany 2 czerwca 2026 roku jako wspólne ostrzeżenie kilku agencji federalnych USA. Na obecnym etapie kampania nie została jednoznacznie przypisana konkretnej grupie lub państwu, jednak wpisuje się w utrwalony trend ataków na słabo chronione środowiska OT i ICS dostępne z sieci publicznej.

Problem bezpieczeństwa ATG nie jest nowy. Od lat eksperci wskazują, że część takich urządzeń cierpi na błędy projektowe, nieprawidłową konfigurację oraz niedostateczne mechanizmy uwierzytelniania. W poprzednich latach opisywano już krytyczne podatności w wybranych modelach, co potwierdziło, że segment technologii monitorowania zbiorników pozostaje atrakcyjnym celem dla cyberprzestępców i operatorów prowadzących działania sabotażowe.

Dodatkowe zainteresowanie tematem wzbudziły medialne doniesienia z maja 2026 roku dotyczące włamań do systemów monitorowania paliwa na stacjach benzynowych w wielu stanach USA. Choć nie przesądzono formalnej atrybucji, sprawa pokazała, że tego typu incydenty nie są już jedynie scenariuszem teoretycznym.

Analiza techniczna

Systemy ATG odpowiadają za zdalny odczyt takich parametrów jak poziom cieczy, temperatura czy sygnały wskazujące na możliwy wyciek. Jeśli napastnik przejmie panel zarządzania lub uzyska dostęp administracyjny do urządzenia, może ingerować w dane, które operator traktuje jako wiarygodne źródło informacji o stanie instalacji.

Według ostrzeżenia wykorzystywane są przede wszystkim trzy klasy słabości. Pierwsza obejmuje błędy uwierzytelniania, w tym możliwość ominięcia logowania oraz obecność zakodowanych na stałe danych dostępowych. Druga dotyczy podatności pozwalających na wykonywanie poleceń systemowych i manipulację bazą danych, na przykład poprzez SQL injection. Trzecia grupa to mechanizmy eskalacji uprawnień, które umożliwiają przejęcie pełnej kontroli nad aplikacją i systemem operacyjnym urządzenia.

Po uzyskaniu dostępu sprawca może modyfikować ustawienia sieciowe, identyfikatory produktów, wolumeny przypisane do zbiorników, a nawet parametry sterowania pompami. Szczególnie groźny jest scenariusz tzw. denial of view, w którym operator traci zaufany podgląd rzeczywistego stanu systemu. Równie niebezpieczna pozostaje możliwość wyłączenia alarmów lub zmiany progów alarmowych, co utrudnia szybkie wykrycie anomalii i incydentów procesowych.

Z perspektywy architektury bezpieczeństwa kluczowym problemem pozostaje bezpośrednia ekspozycja interfejsów ATG do internetu. Publicznie dostępne panele webowe i porty komunikacyjne znacząco zwiększają powierzchnię ataku, zwłaszcza gdy zdalne zarządzanie nie jest chronione przez segmentację, VPN, zapory sieciowe i restrykcyjne listy kontroli dostępu.

Konsekwencje / ryzyko

Przejęcie systemu ATG może prowadzić nie tylko do naruszenia poufności i integralności danych, ale przede wszystkim do zakłócenia pracy środowiska operacyjnego. Fałszywe wskazania poziomu paliwa, modyfikacja konfiguracji czy wyłączenie alarmów mogą skutkować niewykrytymi wyciekami, błędnymi decyzjami personelu oraz awariami elementów infrastruktury.

W sektorach paliwowym i chemicznym zagrożenie ma także wymiar środowiskowy i fizyczny. Nawet jeśli incydent nie prowadzi bezpośrednio do destrukcyjnego sabotażu, samo ograniczenie widoczności stanu instalacji może utrudnić reakcję na sytuacje niebezpieczne. To pokazuje, że systemy monitorujące nie powinny być traktowane jako mało istotny dodatek, lecz jako istotny element bezpieczeństwa procesu.

Do tego dochodzą skutki biznesowe i regulacyjne. Organizacje muszą liczyć się z przestojami, kosztami reakcji na incydent, presją ze strony regulatorów, utratą zaufania partnerów oraz ryzykiem, że kompromitacja ATG stanie się punktem wyjścia do dalszego rozpoznania środowiska OT.

Rekomendacje

Najważniejszym działaniem jest natychmiastowe usunięcie systemów ATG z publicznej ekspozycji. Interfejsy zarządzające i porty komunikacyjne nie powinny być dostępne bezpośrednio z internetu. Jeśli zdalny dostęp jest konieczny, należy realizować go wyłącznie przez odpowiednio zabezpieczone kanały pośredniczące.

• usunąć bezpośrednią ekspozycję ATG do internetu,
• zmienić domyślne hasła i wyeliminować współdzielone konta administracyjne,
• wprowadzić silne, unikalne poświadczenia oraz tam, gdzie to możliwe, uwierzytelnianie wieloskładnikowe,
• zinwentaryzować urządzenia, wersje oprogramowania i status wsparcia producenta,
• wdrożyć poprawki bezpieczeństwa lub zastosować środki kompensujące,
• włączyć logowanie zdarzeń i monitorowanie zmian konfiguracji,
• ograniczyć dostęp serwisowy dostawców i integratorów do niezbędnego minimum.

W praktyce szczególnie ważne jest monitorowanie integralności konfiguracji. Organizacje powinny regularnie porównywać bieżący stan urządzeń z konfiguracją wzorcową oraz analizować logi pod kątem nieautoryzowanych połączeń, zmian etykiet zbiorników, modyfikacji progów alarmowych i nietypowych zmian ustawień sieciowych.

Podsumowanie

Ostrzeżenie dotyczące systemów ATG pokazuje, że nawet wyspecjalizowane komponenty OT mogą stać się realnym wektorem ryzyka dla infrastruktury krytycznej. Problemem nie jest wyłącznie pojedyncza podatność, lecz połączenie kilku czynników: ekspozycji do internetu, słabego uwierzytelniania, przestarzałej architektury oraz niewystarczającego monitoringu zmian.

Dla operatorów z branży paliwowej, chemicznej i transportowej to wyraźny sygnał, że systemy monitorowania zbiorników należy traktować jako zasoby wysokiego ryzyka. Priorytetem powinno być odcięcie ich od publicznego internetu, weryfikacja konfiguracji bezpieczeństwa oraz bieżące wykrywanie anomalii, które mogą bezpośrednio wpływać na ciągłość działania, bezpieczeństwo fizyczne i zgodność regulacyjną.

Źródła

• https://www.ic3.gov/CSA/2026/260602.pdf
• https://www.bleepingcomputer.com/news/security/cisa-warns-of-cyberattacks-targeting-fuel-tank-monitoring-systems/
• https://www.bitsight.com/blog/critical-vulnerabilities-discovered-automated-tank-gauge-systems
• https://ktvz.com/politics/cnn-us-politics/2026/05/15/exclusive-hackers-have-breached-tank-readers-at-us-gas-stations-officials-suspect-iran-is-responsible/