Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy coraz częściej podejmują ataki na systemy sterujące krytyczną infrastrukturą. Warto się zatem przyjrzeć, jak aktualnie wygląda kwestia ich zabezpieczeń.
Przemysłowe systemy sterujące (ang. Industrial Control Systems ― ICS) kontrolują i monitorują procesy będące podstawą funkcjonowania nowoczesnego społeczeństwa. Są to m.in. przesył energii elektrycznej, transport ropy i gazu za pomocą rurociągów i gazociągów, dystrybucja wody czy sterowanie światłami drogowymi.
Impression network at transformer station in sunrise, high voltage up to yellow sky.W ostatnich latach systemy ICS padały ofiarą coraz częstszych i coraz bardziej zaawansowanych cyberataków. Wynika to m.in. z nieuniknionej konwergencji technologii operacyjnych z informatycznymi. Podobnie jak we wszystkich innych
obszarach technologii obliczeniowych, ceną za korzyści, takie jak lepsza łączność sieci (dzięki stosowaniu otwartych standardów np. Ethernet i TCP/IP) oraz oszczędności (wynikające z zastąpienia wyspecjalizowanych, licencjonowanych rozwiązań sprzętem i oprogramowaniem prosto z półki) jest większe narażenie na ataki cyberprzestępców.
O ile jednak w większości systemów informatycznych skutki ataków są ograniczone do strat finansowych, to ataki na systemy ICS mogą również zniszczyć urządzenia o znaczeniu krytycznym oraz zagrozić bezpieczeństwu kraju, a nawet życiu ludzi.
Inne są również profile i motywy potencjalnych sprawców. Podczas gdy większość współczesnych cyberprzestępców kieruje się chęcią zysku, to w przypadku ataków na systemy ICS jest inaczej. Wystarczy przyjrzeć się incydentom tego rodzaju, które miały miejsce w 2015 roku. Poniżej najważniejsze z nich.
Pierwsza spowodowana przez hakera przerwa w dostawie energii elektrycznej na Ukrainie
23 grudnia 2015 roku w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej wynikająca z niesprawności 57 podstacji zasilania. Z początku za przyczynę uznano „zakłócenia” w systemie monitorowania spowodowane przez jedną z elektrowni. Później jednak stwierdzono, że chodzi o atak hakerów na systemy ICS tych elektrowni. 4 stycznia 2016 r. przyczynę awarii potwierdził ukraiński oddział organizacji CERT (CERT-UA). Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego.
Ten zaawansowany, dobrze zaplanowany atak składał się z 3 etapów:
- Zainfekowania systemów metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro.
- Przejęcia systemu i uniemożliwienia jego odzyskania poprzez usunięcie plików systemowych z systemów sterujących.
- Ataków DDoS (ang. Distributed Denial of Service ― rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta różnych elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.
Stwierdzono, że w tych atakach użyto znanego od 2007 roku, szkodliwego oprogramowania z rodziny BlackEnergy, W 2014 r. wykryto również inne jego odmiany, które gromadzą informacje dotyczące infrastruktury SCADA.
Potwierdzenie ataków rozpoznawczych na systemy ICS w Stanach Zjednoczonych
Opublikowane w grudniu 2015 r. dwa raporty o atakach na systemy ICS w Stanach Zjednoczonych dotyczyły ataków rozpoznawczych, tj. mających na celu nie uszkodzenie systemów, ale zdobycie informacji.
Pierwszy z tych raportów opisuje niepotwierdzony wcześniej atak na zaporę wodną Bowman Avenue Dam w Nowym Jorku w 2013 roku. Choć sama zapora nie została uszkodzona, cyberprzestępcy przeszukali zainfekowane komputery, prawdopodobnie w celu zebrania określonych informacji. Potwierdzono również, że ataku dokonali irańscy hakerzy.
W drugim przypadku analiza komputera należącego do kontrahenta firmy Calpine – największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych – wykazała, że komputer ten został zaatakowany przez hakerów, którzy skradli dane dotyczące koncernu. Skradzione informacje znaleziono na jednym z serwerów FTP należących do cyberprzestępców, który kontaktował się z zainfekowanymi systemami. Były to m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami Calpine oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych.
Zainfekowane systemy SCADA oferowane do sprzedaży w cyberpodziemiu
Na podziemnych forach internetowych znaleziono oferty sprzedaży zainfekowanych systemów SCADA odpowiedzialnych za nadzór procesów produkcyjnych i technologicznych. Oferty obejmowały zrzuty ekranowe, a nawet trzy francuskie adresy IP i hasła VNC. Choć autentyczność tych danych nie została potwierdzona, jest duże prawdopodobieństwo, że gotowe do użycia, podatne na ataki systemy SCADA stają się kolejnym towarem, który można łatwo kupić w cyberprzestępczym podziemiu.
Przytoczone powyżej sytuacje to tylko trzy przykłady ze znacznie dłuższej listy. Jak wynika z biuletynu organizacji ICS-CERT, w roku finansowym 2015 do ICS-CERT zgłoszono łącznie 295 incydentów. Najwięcej (97,33%) dotyczyło ataków na infrastruktury w sektorze produkcji krytycznej. Na drugim miejscu znalazł się sektor energetyczny (46,16%). Za przyczynę wzrostu tych pierwszych w porównaniu z rokiem 2014 uznano zakrojoną na szeroką skalę kampanię spear-phishingu, której celem były głównie firmy z tego sektora (ataki na inne sektory miały mniejszy zasięg).
Jak się chronić?
Jednym z największych problemów dla firm, które chcą zabezpieczyć swoje systemy ICS, jest wysoki stopień zaawansowania współczesnych ataków. Istnieją też dodatkowe utrudnienia, takie jak branżowy charakter systemów, regulacji i praktyk. Systemy ISC w poszczególnych firmach pochodzą najczęściej od różnych dostawców i są wyposażone we własne systemy operacyjne, aplikacje oraz protokoły (np. GE, Rockwell, DNP3 lub Modbus). Z tego powodu zabezpieczenia oparte na hoście, przeznaczone dla systemów informatycznych przedsiębiorstw, w zasadzie nie są dostępne dla ICS, a wiele zabezpieczeń sieci opracowanych z myślą o powszechnie używanych aplikacjach i protokołach raczej nie spełni swojej funkcji w systemach ICS.
Można sformułować kilka zaleceń dotyczących bezpieczeństwa, które pomogą firmom w uniknięciu poważnych problemów:
Walka z phishingiem. Dobre oprogramowanie antywirusowe ostrzegające o niebezpiecznych załącznikach może stanowić dodatkową warstwę ochronną, która pomoże w walce z phishingiem, czyli wyłudzaniem danych wrażliwych za pomocą wiadomości e-mail. Praktycznie we wszystkich atakach zarówno na systemy ICS, jak i środowiska informatyczne przedsiębiorstw zastosowano phishing ukierunkowany (tzw. spear-phishing). Na przykład jeden z ataków zgłoszonych do zespołu ICS-CERT polegał na tym, że cyberprzestępcy utworzyli konto na portalu społecznościowym, z którego następnie wysyłali wiadomości, podszywając się pod osoby szukające pracy. W ten sposób dotarli do pracowników przedsiębiorstwa zarządzającego infrastrukturą o znaczeniu krytycznym, od których wyłudzili takie dane, jak nazwisko dyrektora ds. informatycznych oraz wersje używanego w firmie oprogramowania. Pracownicy ci otrzymali e-mail z CV domniemanego kandydata załączonym jako plik „resume.rar”. Załącznik zawierał szkodliwe oprogramowanie, które zainfekowało systemy pracowników. Na szczęście udało się zapobiec jego rozprzestrzenieniu na systemy kontrolne.
Rejestrowanie incydentów i regularne skanowanie sieci. Rejestrowanie zdarzeń w dzienniku jest bardzo dobrym sposobem monitorowania działań wykonywanych w systemach, a w przypadku incydentów ułatwia znalezienie ich przyczyn. Wielokrotnie umożliwiło również szybkie wykrycie infekcji. Z tego powodu prowadzenie dziennika jest szczególnie polecane administratorom systemów ICS. Inną dobrą praktyką jest regularne skanowanie sieci, które również ułatwia szybkie wykrywanie infekcji.
Wzrost świadomości i konkretne działania
Jest jednak dobra wiadomość ― w ostatnich latach znacznie wzrosła świadomość problemów związanych z podatnością systemów ICS na ataki i podjęto już pierwsze kroki w celu ich wyeliminowania. Mają w tym swój udział instytucje rządowe, takie jak zespół ds. reagowania na problemy z zabezpieczeniami przemysłowych systemów sterujących (Industrial Control Systems Cyber Emergency Response Team ― ICS-CERT) w Stanach Zjednoczonych oraz centrum ochrony infrastruktury krajowej (Centre for Protection of National Infrastructure ― CPNI) w Wielkiej Brytanii. Instytucje te publikują porady, wskazówki i najlepsze praktyki dotyczące bezpieczeństwa systemów ICS.
Nie bez znaczenia było również wprowadzenie wspólnych standardów, takich jak ISA/IEC-62443 (dawniej ISA-99). Opracowany przez Międzynarodowe Stowarzyszenie ds. Automatyzacji (International Society for Automation ― ISA) jako ISA-99, a następnie przemianowany na ISA/IEC 62443 zgodnie z wymaganiami Międzynarodowej Komisji Elektrotechnicznej (International Electro-Technical Commission ― IEC), dokument ten określa ogólne ramy projektowania, planowania i integrowania bezpiecznych systemów ICS oraz zarządzania nimi.
Źródło: Ruchna Nigam, analityk ds. bezpieczeństwa FortiGuard Labs, Fortinet