Cyberataki mogą obezwładnić infrastrukturę krytyczną

Piątek, 8 kwietnia 2016 (14:02)

Istotny raport o konieczności zabezpieczania systemów infrastruktury krytycznej: wodociągów, elektrowni czy sterowania ruchem miejskim przedstawiła analityk firmy Fortinet, Ruchna Nigam. Jej zdaniem ataki na Ukrainie na infrastrukturę elektrowni wskazują, iż tworzone i testowane są obecnie strategie tego typu działań na dużą skalę.

Jak pisze w swoim raporcie Nigam, wszystkie systemy firm publicznych oraz energetycznych i dużą część przemysłowych jest skonstruowana przy wykorzystaniu przemysłowych systemów sterujących (ang. Industrial Control Systems - ICS). Kontrolują i monitorują one takie procesy, jak to m.in. przesył energii elektrycznej, transport ropy i gazu za pomocą rurociągów i gazociągów, dystrybucja wody czy sterowanie światłami drogowymi.

Jednak ich otwarcie na ogólnie dostępną i tanią sieć, jaką jest internet, poprzez zastosowanie nie standardów dedykowanych a Ethernet i TCP/IP oraz wbudowanie w te rozwiązania aplikacji i całych systemów z półki czyni je bardzo wrażliwymi na działania cyberprzestępców.

Według biuletynu organizacji ICS-CERT, w roku finansowym 2015 do ICS-CERT zgłoszono łącznie 295 incydentów. Najwięcej , bo 97,33 proc. dotyczyło ataków na infrastruktury w sektorze produkcji krytycznej. Na drugim miejscu znalazł się sektor energetyczny z 46,16 proc. Przyczyną wzrostu pierwszego typu ataku w porównaniu z rokiem 2014 była prawdopodobnie wielkoskalowa kampania spear-phishingu, której celem były głównie firmy z tego sektora (ataki na inne sektory miały mniejszy zasięg).

Jak wskazują na to wydarzenia roku 2015, obecnie tworzone i testowane są zaawansowane metody ataku na firmy publiczne oraz energetyczne. 23 grudnia 2015 roku w kilku regionach zachodniej Ukrainy awaria 57 podstacji zasilania spowodowała przerwy w dostawie prądu. Początkowo uważano je za zakłócenia systemu monitorowania, spowodowane przez jedną z elektrowni. Jednak, jak się okazało, to hackerzy zaatakowali systemy ICS elektrowni ukraińskich, co potwierdził 4 stycznia br. tamtejszy oddział organizacji CERT - CERT-UA. Jest to pierwszy na świecie udany atak na system energetyczny kraju. Atak ten był trójetapowy. W pierwszym etapie zainfekowano systemy poprzez spear-phishing za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Zawierały one złośliwe makra. Makra te usunęły niektóre pliki i biblioteki systemowe i pozwoliły na przejęcie kontroli nad systemami ICS. Atakiem DDoS (ang. Distributed Denial of Service - rozproszona odmowa usługi) z kolei obezwładniono centra obsługi klienta, tak, aby atak nie został zbyt szybko wykryty, a jego skutki usunięte. W ataku zastosowano malware, znane od 2007 roku pod nazwą BlackEnergy. Zostało ono jednak znacznie zmodyfikowane w stosunku do pierwotnej wersji, być może na potrzeby tego właśnie ataku.

W grudniu 2015 roku z kolei opublikowano raporty o dokonanych wcześniej atakach na systemy ICS w USA. Pierwszy z nich dotyczył incydentu z 2013 roku, kiedy to nieznany sprawca zaatakował zaporę wodną Bowman Avenue Dam w Nowym Jorku. Systemów wtedy nie uszkodzono, ale przeszukano systemy ICS sterujące zaporą. Co ciekawe, ataków dokonali hackerzy z Iranu, prawdopodobnie pracujący na zlecenie Gwardii Rewolucyjnej, posiadającej własne Oddziały Wojny Informatycznej.

Z kolei niewiele później okradziony przez hackerów został komputer firmy-kontrahenta firmy Calpine - największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych. W tym przypadku na serwerze FTP powiązanym z cyberprzestępczością znaleziono m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami Calpine oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych. Nie jest jasne, kto dokonał włamania, bowiem ta sama grupa jest podejrzana o inne ataki m.in. na sieci banków i towarzystw ubezpieczeniowych w USA.

Z kolei na podziemnych forach internetowych znajdują się oferty sprzedaży zainfekowanych systemów SCADA, które odpowiadają za nadzór systemów produkcyjnych i technologicznych. W ofertach znaleziono także trzy francuskie adresy IP i hasła VNC. Nie stwierdzono czy dotyczy to konkretnego systemu, ale prawdopodobne jest, że zainfekowane systemy SCADA, podatne na wszelkie zdalne operacje stają się towarem łatwym do nabycia w podziemiu.

Tymczasem, wobec technologicznego zaawansowania najnowszych systemów ICS, także i ataki na nie stają się coraz bardziej wyrafinowane. Rozwiązania systemowe pochodzą bowiem od różnych dostawców, posiadają własne systemy operacyjne, protokoły i dedykowane aplikacje (np. GE, Rockwell, DNP3 lub Modbus). Oznacza to, że nie można zastosować dla nich, charakterystycznych dla firm, systemów bezpieczeństwa opartych na hostach. Różne rodzaje zabezpieczeń sieci używanych w systemach komercyjnych dla tych dedykowanych nie są także możliwe do użycia.

Raport Fortinet sformułował kilka ogólnych zaleceń, których zastosowanie ma znacznie zmniejszyć niebezpieczeństwo ataku na systemy dedykowane przedsiębiorstw energetyki i usług publicznych:
- walka z phishingiem - konieczne jest zainstalowanie systemu antywirusowego, który ostrzeże o niebezpiecznych załącznikach i malware. Spear-phishing czyli phishing kierunkowy stosowano bowiem we wszystkich dotąd znanych atakach na infrastrukturę ICS i jego wykrycie mogłoby takie ataki udaremnić. Warto pamiętać, że ataki te są organizowane podobnie jak dawne ataki używające inżynierii społecznej np. w jednym z nich cyberprzestępcy założyli grupę na portalu społecznościowym, osób szukających pracy i jako takie właśnie osoby wysyłali swoje maile z załącznikami do firm. W ten sposób udało im się uzyskać dane pracowników sektora bezpieczeństwa m.in. dyrektora ds. informatycznych oraz wersje używanego w firmie oprogramowania. Pracownicy ci otrzymali e-mail z CV domniemanego kandydata załączonym jako plik "resume.rar". Załącznik zawierał szkodliwe oprogramowanie, które zainfekowało systemy użytkowników firmowych. Co prawda zablokowano jego rozprzestrzenianie, ale konieczne było wyłączenie części komputerów.
- skanowanie sieci i rejestracja danych o incydentach - dziennik danych zawierający logi z danymi o incydentach ułatwia znalezienie ich przyczyn i stałe monitorowanie systemów. Przyspiesza też wykrycie infekcji, jeśli już do niej dojdzie, podobnie jak stałe skanowanie sieci.
- samokształcenie w dziedzinie technik ataków i sposobów zapobiegania - obecnie wiele instytucji rządowych jak zespół ds. reagowania na problemy z zabezpieczeniami przemysłowych systemów sterujących (Industrial Control Systems Cyber Emergency Response Team - ICS-CERT) w Stanach Zjednoczonych oraz centrum ochrony infrastruktury krajowej (Centre for Protection of National Infrastructure - CPNI) w Wielkiej Brytanii, wydaje regularnie biuletyny dotyczące bezpieczeństwa systemów ICS. Warto także zapoznać się z tzw. standardami wspólnymi, takimi jak ISA/IEC-62443 (dawniej ISA-99). Opracowany przez Międzynarodowe Stowarzyszenie ds. Automatyzacji (International Society for Automation - ISA) jako ISA-99, a następnie przemianowany na ISA/IEC 62443 zgodnie z wymaganiami Międzynarodowej Komisji Elektrotechnicznej (International Electro-Technical Commission - IEC), dokument ten określa ogólne ramy projektowania, planowania i integrowania bezpiecznych systemów ICS oraz zarządzania nimi.

Marek Wenden

INTERIA.PL

Podziel się