Grupa cyberprzestępców określająca się jako Blackcat w połowie listopada poinformowała o ataku na spółkę Naftor i żądając okupu, zagroziła ujawnieniem w ciągu kilku dni kompletu danych.
Naftor to spółka o szczególnym znaczeniu. Specjalizuje się w realizacji przedsięwzięć z zakresu bezpieczeństwa fizycznego i zabezpieczenia technicznego obiektów o szczególnym znaczeniu dla interesu ekonomicznego państwa. Spółka, której właścicielem jest PERN, ochrania infrastrukturę operatora oraz spółek z grupy, do której należą m.in. Naftoport, Naftoserwis czy Siarkopol.
Blackcat zagroził ujawnieniem wrażliwych i krytycznych informacji, które miały obejmować bazy danych, dowody nieprawidłowości i nieścisłości, w tym w dokumentacji dotyczącej produkcji ropy naftowej i magazynowania, a także umowy o zachowaniu w poufności, dane klientów i pracowników, korespondencję wewnętrzną i zewnętrzną. Firmę Naftor i jej właściciela określili jako najniebezpieczniejszą spółkę dla partnerów. „Twój biznes zostanie zhakowany z powodu dziesiątków podatności w ich sieci IT, jeśli będziesz z nimi współpracować” — napisali hakerzy.
Naftor prawdopodobnie nie zgodził się na zapłatę okupu. W darknecie zaroiło się od dokumentów spółki. Można tam znaleźć m.in. informacje o klientach i kontraktach, wewnętrzne dokumenty finansowe, umowy o zachowaniu poufności, dokumenty pracowników, e-maile czy dane pracowników, np. skany paszportów, listy wynagrodzeń, skierowania na badania etc.
— Tego jest tona — mówi PB osoba przeczesująca zasoby sieci.
W piątek wieczorem spółka poinformowała, że doszło do „incydentu cyberbezpieczeństwa”. „Obecnie firma przywraca stabilność systemów i diagnozuje przyczyny zdarzenia. O sprawie zostały poinformowane odpowiednie służby, które pomagają w obsłudze czynności wyjaśniających oraz naprawczych. Systemy IT firmy Naftor nie są bezpośrednio powiązane z systemami informatycznymi PERN” — czytamy w komunikacie.
PERN na razie zdawkowo odpowiedział na wysłane w piatek wieczorem pytania o szczegóły ataku.
„W chwili obecnej, z uwagi na prace, które są prowadzone pod nadzorem służb, m.in. ABW, i współudziale NASK Naftor nie może udostępnić informacji na ten temat. Spółka Naftor, której dotyczy incydent cyberbezpieczeństwa, poinformuje opinię publiczną o przyczynach incydentu niezwłocznie, gdy tylko prowadzone czynności na to pozwolą” — poinformowało centrum prasowe PERN.
W poniedziałek po południu Naftor poinformował o dymisji prezesa.
“Rada Nadzorcza Naftor odwołała z dniem 17 listopada 2023 roku Pana Piotra Kuczyńskiego z funkcji prezesa zarządu Naftor. Obecnie w zarządzie Naftor zasiada Pan Michał Szpakowicz, wiceprezes spółki” - napisano w komunikacie.
W sprawie ataku na Naftor zwołany został zespół ds. incydentów krytycznych, a spółka korzysta ze wsparcia CSIRT (computer security incident response team) poziomu krajowego.
W 2004 r. Naftor został wydzielony ze struktury spółki Naftobazy (następnie funkcjonującej jako Operator Logistyczny Paliw Płynnych), która była największym w Polsce przedsiębiorstwem specjalizującym się w magazynowaniu i obrocie paliwami płynnymi. Celem jej powołania było zapewnienie profesjonalnej ochrony baz paliw należących do Naftobaz — obiektów strategicznych o kluczowym znaczeniu dla bezpieczeństwa energetycznego państwa. Równolegle Naftor świadczył usługi na rzecz innych podmiotów, w tym Zakładów Azotowych w Kędzierzynie-Koźlu oraz Tarnowie, a także wybranych jednostek wojskowych.
Naftor ochrania m.in. bazy paliw należące do PERN. „Incydent cyberbezpieczeństwa w Naftor nie ma wpływu na działalność PERN” — poinformował operator. Wśród klientów spółki jest też PL 2012, czyli zarządca Stadionu Narodowego. W przeszłości spółka ochraniała obiekty Gaz-Systemu.
Poza usługami ochrony i zabezpieczeń Naftor ma też w ofercie systemy antydronowe, usługi dronem i szkolenia. Do niedawna miał też usługi z obszaru cyberbezpieczeństwa.
Jak poważne mogą być konsekwencje tego ataku, biorąc pod uwagę, że klientami Naftoru były spółki o strategicznym znaczeniu dla państwa?
Odpowiedź na to pytanie zależy od architektury oraz skuteczności zabezpieczeń sieci Naftoru oraz podmiotów zależnych. Skuteczny atak ransomware oraz potwierdzony wyciek wrażliwych dokumentów świadczy o nieskutecznych zabezpieczeniach co najmniej wewnątrz Naftoru.
Jak Naftor i PERN mogą zminimalizować/ograniczyć skutki ataku?
W pierwszej kolejności należy zrozumieć, co się stało, co zawiodło i jak przełamano zabezpieczenia. Skuteczny atak ransomware świadczy o problemach cyberbezpieczeństwa co najmniej na kilku różnych poziomach zabezpieczeń. Pierwszy to przedostanie się atakującego przez zabezpieczenia sieciowe, drugi to zabezpieczenia systemu operacyjnego, trzeci to zabezpieczenia systemu cyberbezpieczeństwa organizacji — np. SIEM, SOC, o ile takie zabezpieczenia w ogóle istnieją u ofiary cyberataku. Należy więc wykonać czynności z zakresu informatyki śledczej i analizy powłamaniowej. Prawie na pewno niezbędne będzie zewnętrzne wsparcie eksperckie. Dopiero na podstawie wniosków z informatyki śledczej i analizy powłamaniowej należy podjąć działania eliminujące dziury w systemach bezpieczeństwa i minimalizujące ryzyko powtórnego ataku.
Jaki był najbardziej prawdopodobny wektor ataku?
Naftor nie ujawnił przyczyn i przebiegu ataku. Patrząc statystycznie, atak ransomware najczęściej przebiega poprzez infekcję komputera za pomocą wiadomości e-mail (phishing), zainfekowanych stron internetowych, ale też nielegalnego oprogramowania. Najważniejsze jest to, aby sama ofiara była w stanie zrozumieć, co dokładnie się stało. Niestety, nie zawsze ofiary dążą do zrozumienia i zaadresowania przyczyn problemów. Nierzadko skupiają się głównie na przywróceniu działalności operacyjnej.