Door de Chinese overheid gesponsorde aanvallers hebben van 2011 tot 2013 spearphishingaanvallen uitrgevoerd tegen ruim twintig Amerikaanse gaspijplijnbedrijven, waarbij de aanvallers toegang tot de netwerken van meerdere aanbieders wisten te krijgen, zo stelt de FBI in een vandaag verschenen waarschuwing.

Volgens de Amerikaanse opsporingsdienst werden 23 gaspijplijnbedrijven het doelwit van de aanvallen, waarbij er gebruik werd gemaakt van spearphishingmails. In de e-mails werden medewerkers van de aangevallen bedrijven opgeroepen om malafide bestanden te openen. Bij dertien gaspijplijnbedrijven wisten de aanvallers binnen te dringen en van acht bedrijven is onbekend hoe ver de aanvallers zijn binnengedrongen.

Zodra de aanvallers toegang tot de netwerken van het bedrijf hadden werd er gezocht naar documenten met de tekst "SCAD*", werknemerslijsten, gebruikersnamen en wachtwoorden, inbelgegevens en systeemhandleidingen. Ook wisten de aanvallers verschillende remote toegangskanalen te compromitteren, waaronder systemen die worden gebruikt voor het uitwisselen van data of toegang bieden tot bedrijfs- en ICS- (industriële controlesystemen) netwerken.

Uit het onderzoek dat de FBI naar de aanvallen instelde blijkt dat de aanvallers de werking van de gaspijplijnen niet hebben beïnvloed of aangepast. De Amerikaanse opsporingsdienst stelt dat met de verkregen informatie het wel mogelijk was voor de aanvallers om via verschillende kanalen toegang tot ICS-netwerken te krijgen en de pijpleidingen op zo'n manier te bedienen dat dit fysieke gevolgen zou hebben.

De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security stellen dat China met de phishingcampagne aanvalsmogelijkheden wilde ontwikkelen om pijplijnen fysiek te beschadigen en het functioneren van pijplijnen te verstoren. De waarschuwing bevat niet alleen informatie over de waargenomen aanvallen, maar doet ook verschillende aanbevelingen, waaronder het scheiden van IT- en OT-netwerken.