Hackers drongen met succes 21 Amerikaanse LNG-producenten binnen vlak voor de invasie in Oekraïne

Half februari kregen hackers toegang tot computers van huidige en voormalige werknemers van bijna twee dozijn grote aardgasleveranciers en -exporteurs, waaronder Chevron Corp., Cheniere Energie Inc. en Kinder Morgan Inc., blijkt uit onderzoek dat exclusief is gedeeld met Bloomberg News.

De aanvallen waren gericht op bedrijven die betrokken zijn bij de productie van vloeibaar aardgas, of LNG, en ze waren de eerste stap in een poging om een ​​steeds kritiekere sector van de energie-industrie te infiltreren, aldus Gene Yoo, chief executive officer van het in Los Angeles gevestigde bedrijf. Resecurity Inc., die de operatie ontdekte. Ze vonden plaats aan de vooravond van de Russische invasie van Oekraïne, toen de energiemarkten al werden opgejaagd door krappe voorraden.

Het onderzoek van Resecurity begon vorige maand toen de onderzoekers van het bedrijf een klein aantal hackers zagen, waaronder een die verband hield met een golf van aanvallen in 2018 tegen Europese organisaties die Microsoft Corp. toegeschreven aan Strontium, de bijnaam van het bedrijf voor een hackgroep die verbonden is met de Russische militaire inlichtingendienst GRU.

De hackers wilden op het dark web de hoogste dollar betalen voor toegang tot pc's van werknemers van grote aardgasbedrijven in de VS, die werden gebruikt als een achterdeur naar bedrijfsnetwerken, zei Yoo. De onderzoekers hebben de servers van de hackers gevonden en een kwetsbaarheid in de software gevonden, waardoor ze bestanden van de machines konden verkrijgen en konden zien wat de aanvallers al hadden gedaan, zei Yoo.

Sommige van die bestanden werden gedeeld met Bloomberg, wat een zeldzaam beeld gaf van een live hackoperatie. Ze laten zien dat de aanvallers in februari tijdens een blitz van twee weken toegang kregen tot meer dan 100 computers van huidige en voormalige werknemers van 21 grote energiebedrijven. In sommige gevallen hebben de hackers zelf de doelmachines gecompromitteerd, en in andere gevallen kochten ze toegang tot specifieke computers die al door anderen waren geïnfecteerd, waarbij ze maar liefst $ 15,000 voor elke computer boden, zei Yoo.

Het motief van de operatie is niet bekend, maar de timing valt samen met bredere veranderingen in de energie-industrie die zijn versneld door de oorlog in Rusland. Yoo zei dat hij geloofde dat de aanval werd uitgevoerd door door de staat gesponsorde hackers, maar hij weigerde verder te speculeren.

Yoo beschreef de acties van de hackers als 'pre-positionering' of het gebruik van de gehackte machines als springplank naar beveiligde bedrijfsnetwerken. Voor dat soort operaties kunnen computers van voormalige werknemers net zo waardevol zijn als die van huidige werknemers, omdat veel bedrijven traag zijn of de toegang op afstand niet afsluiten wanneer iemand vertrekt, zei hij.

LNG is een vorm van supergekoelde brandstof die bijna overal ter wereld per tankwagen kan worden verscheept. De vraag is enorm gestegen in de afgelopen maanden, te midden van krappe brandstofvoorraden in de winter en de aanloop naar de Russische invasie van Oekraïne op 24 februari, die de energiemarkt heeft doen rijzen en ertoe heeft geleid dat Duitsland en andere Europese landen, die afhankelijk zijn van Russisch gas, zoek alternatieven. In de maanden voor de invasie werden de VS 's werelds top leverancier van LNG, en bijna twee op de drie ladingen die van de kusten voer, waren op weg naar het aardgashongerige Europa.

Duitsland, de grootste aardgasmarkt van Europa, zei in reactie op de Russische invasie dat het de bouw van twee LNG-importterminals bespoedigt. Dit is een grote verandering, aangezien het de eerste keer is dat Duitsland LNG importeert. Duitsland ook het certificeringsproces stopgezet van de Nord Stream 2-pijpleiding, een systeem van aardgaspijpleidingen uit Rusland dat is voltooid maar nog niet operationeel.

Lees meer: ​​Duitsland gaat voor 1.7 miljard dollar aan LNG kopen omdat oorlog de bevoorrading bedreigt

Het is niet duidelijk of de aanvallen direct verband houden met de invasie van Oekraïne, maar Resecurity zei dat de hacks ongeveer twee weken voor de invasie begonnen, nadat Amerikaanse functionarissen had er bij exploitanten van kritieke infrastructuur op aangedrongen om "een verhoogde staat van bewustzijn aan te nemen" voor door de Russische staat gesponsorde aanvallen.

Lees hier het hele verhaal ...