CONPET S.A. Ploiești, operatorul Sistemului Național de Transport al Petrolului, a confirmat că a fost victima unui atac cibernetic pe 3 februarie, iar gruparea ransomware Qilin a revendicat atacul, susținând că a exfiltrat aproximativ 1.000 GB de date din infrastructura companiei.
Atacatorii au publicat deja 16 imagini cu fragmente din datele furate, inclusiv documente business și scanări de pașapoarte ale unor angajați în funcții de conducere și colaboratori, pentru a demonstra legitimitatea breșei.
Site-ul companiei rămâne inaccesibil ca urmare directă a incidentului. Nu este clar dacă această oprire a fost o măsură preventivă pentru a izola sistemele compromise și a preveni propagarea laterală sau o consecință directă a atacului.
CONPET S.A. este o companie cu importanță strategică, deținută majoritar de statul român fiind subordonată Ministerului Energiei, ce deține 58,71% din acțiuni. Restul acțiunilor sunt listate la Bursa de Valori București (simbol COTE).
Compania funcționează ca operator al Sistemului Național de Transport al petrolului prin conducte și face parte din arhitectura sistemului energetic național, asigurând aprovizionarea rafinăriilor cu materie primă. Gestionează o rețea de peste 3.800 km, și este concesionarul serviciului public de transport al țițeiului, gazolinei și condensatului la nivel național.
Capacitatea operațională nu a fost afectată
Într-un comunicat pe 4 februarie, CONPET a anunțat că sistemele operaționale esențiale – SCADA și Telecomunicații – nu au fost compromise și că transportul țițeiului prin infrastructura națională continuă în parametri normali.
Deși țițeiul continuă să curgă prin țevi, problema e că infrastructura IT de business a fost compromisă și a fost exfiltrată o cantitate semnificativă de date ce pot fi folosite de actori rău intenționați pentru activități de subminare a activității companiei.
Realitatea e că Qilin nu a exfiltrat aproape 1 TB de date pentru satisfacție intelectuală – fiecare categorie de informații furate are o piață activă și cazuri concrete de exploatare, precum spionajul industrial.
Dincolo de datele personale, sutele de giga pe care atacatorul pretinde că le-a furat ar putea include documente business sensibile (contracte, planuri strategice, informații financiare interne, date despre infrastructură și posibil credențiale de acces).
Documentele publicate deja de Qilin includ o fișă marcată „confidențial” pentru un sistem de securitate electronic ce cuprinde elemente de detecție și alarmare la efracție, control acces, și supraveghere video, date și contracte financiare de anul trecut, date personale (CNP și adrese poștale) a cel puțin 40 de persoane.
Acest tip de leak are scopuri multiple: validează pretențiile atacatorilor, crește presiunea asupra victimei pentru plata răscumpărării și, nu în ultimul rând, expune persoanele fizice la riscuri de furt de identitate și fraud.
Scanările de pașapoarte sunt materiale de top pentru că pot fi folosite pentru deschiderea de conturi bancare, obținerea de credite, sau înregistrarea de companii.
Dacă mostra este reprezentativă, aceste informații pot fi vândute către competitori sau actori statali interesați de infrastructura energetică critică.
CONPET reprezintă o țintă de interes strategic pentru actori geopolitici iar informațiile despre vulnerabilități în sisteme, proceduri de securitate sau topologia rețelei pot fi monetizate la prețuri semnificativ mai mari decât datele personale ale angajaților.
Gruparea Qilin, responsabilă pentru acest atac, operează un model ransomware-as-a-service (RaaS) și a devenit unul dintre cei mai activi actori din ecosistemul ransomware, cu peste 700 de victime reclamate anul trecut.
Grupul, cu origine suspectată în Rusia și activ din 2022, listează victimele pe un site de leak, în încercarea de a aplica presiune suplimentară prin “naming and shaming”. Afiliații Qilin păstrează între 80-85% din sumele de răscumpărare obținute, ceea ce face modelul lor de business extrem de atractiv pentru atacatori.
Plângere penală la DIICOT
CONPET a sesizat DIICOT pe 3 februarie și colaborează cu autorități naționale din domeniul securității cibernetice. În teorie, asta e procedura standard. În practică, investigațiile de profil ransomware sunt dificile, mai ales când atacatorii operează din jurisdicții unde România nu are pârghii legale.
Grupări precum Qilin beneficiază de infrastructură distribuită și tacticile de obfuscare fac identificarea indivizilor și capturarea lor extrem de laborioasă, aproape imposibilă fără cooperare internațională.
„Specialiștii societății noastre au luat măsuri imediate pentru a diminua efectele acestui incident și colaborează în permanență cu reprezentanții autorităților naționale din domeniul securității cibernetice pentru investigarea incidentului și repunerea rapidă în funcțiune a infrastructurii afectate.”
CONPET afirmă că situația “nu afectează activitatea operațională, stabilitatea companiei sau capacitatea entității de a-și îndeplini obligațiile contractuale”. Asta poate fi adevărat pe termen scurt, dar breșa a expus deja date sensibile ale angajaților și probabil include și alte categorii de informații personale,contracte, date financiare și posibil credențiale de acces.
Dacă Qilin chiar a furat 1.000 GB de la CONPET (și nu există motive să credem altfel, având în vedere dovezile publicate), volumul de date compromise e substanțial.
Pentru angajații ale căror pașapoarte au ajuns pe dark web, jocul abia începe: monitorizare financiară, înlocuire documente, potențiale tentative de fraudă în lunile următoare.
