Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy coraz częściej podejmują ataki na systemy sterujące krytyczną infrastrukturą. Warto się zatem przyjrzeć, jak aktualnie wygląda kwestia ich zabezpieczeń.
![[Obrazek: attachment.php?aid=853]](https://safegroup.pl/attachment.php?aid=853)
Przemysłowe systemy sterujące (ang. Industrial Control Systems ― ICS) kontrolują i monitorują procesy będące podstawą funkcjonowania nowoczesnego społeczeństwa. Są to m.in. przesył energii elektrycznej, transport ropy i gazu za pomocą rurociągów i gazociągów, dystrybucja wody czy sterowanie światłami drogowymi.
W ostatnich latach systemy ICS padały ofiarą coraz częstszych i coraz bardziej zaawansowanych cyberataków. Wynika to m.in. z nieuniknionej konwergencji technologii operacyjnych z informatycznymi. Podobnie jak we wszystkich innych
obszarach technologii obliczeniowych, ceną za korzyści, takie jak lepsza łączność sieci (dzięki stosowaniu otwartych standardów np. Ethernet i TCP/IP) oraz oszczędności (wynikające z zastąpienia wyspecjalizowanych, licencjonowanych rozwiązań sprzętem i oprogramowaniem prosto z półki) jest większe narażenie na ataki cyberprzestępców.
O ile jednak w większości systemów informatycznych skutki ataków są ograniczone do strat finansowych, to ataki na systemy ICS mogą również zniszczyć urządzenia o znaczeniu krytycznym oraz zagrozić bezpieczeństwu kraju, a nawet życiu ludzi.
Inne są również profile i motywy potencjalnych sprawców. Podczas gdy większość współczesnych cyberprzestępców kieruje się chęcią zysku, to w przypadku ataków na systemy ICS jest inaczej. Wystarczy przyjrzeć się incydentom tego rodzaju, które miały miejsce w 2015 roku. Poniżej najważniejsze z nich.
Pierwsza spowodowana przez hakera przerwa w dostawie energii elektrycznej na Ukrainie
23 grudnia 2015 roku w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej wynikająca z niesprawności 57 podstacji zasilania. Z początku za przyczynę uznano „zakłócenia” w systemie monitorowania spowodowane przez jedną z elektrowni. Później jednak stwierdzono, że chodzi o atak hakerów na systemy ICS tych elektrowni. 4 stycznia 2016 r. przyczynę awarii potwierdził ukraiński oddział organizacji CERT (CERT-UA). Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego.
Ten zaawansowany, dobrze zaplanowany atak składał się z 3 etapów:
1. Zainfekowania systemów metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro.
2. Przejęcia systemu i uniemożliwienia jego odzyskania poprzez usunięcie plików systemowych z systemów sterujących.
3. Ataków DDoS (ang. Distributed Denial of Service ― rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta różnych elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.
Stwierdzono, że w tych atakach użyto znanego od 2007 roku, szkodliwego oprogramowania z rodziny BlackEnergy, W 2014 r. wykryto również inne jego odmiany, które gromadzą informacje dotyczące infrastruktury SCADA.
Potwierdzenie ataków rozpoznawczych na systemy ICS w Stanach Zjednoczonych
Opublikowane w grudniu 2015 r. dwa raporty o atakach na systemy ICS w Stanach Zjednoczonych dotyczyły ataków rozpoznawczych, tj. mających na celu nie uszkodzenie systemów, ale zdobycie informacji.
Pierwszy z tych raportów opisuje niepotwierdzony wcześniej atak na zaporę wodną Bowman Avenue Dam w Nowym Jorku w 2013 roku. Choć sama zapora nie została uszkodzona, cyberprzestępcy przeszukali zainfekowane komputery, prawdopodobnie w celu zebrania określonych informacji. Potwierdzono również, że ataku dokonali irańscy hakerzy.
W drugim przypadku analiza komputera należącego do kontrahenta firmy Calpine – największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych – wykazała, że komputer ten został zaatakowany przez hakerów, którzy skradli dane dotyczące koncernu. Skradzione informacje znaleziono na jednym z serwerów FTP należących do cyberprzestępców, który kontaktował się z zainfekowanymi systemami. Były to m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami Calpine oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych.
![[Obrazek: attachment.php?aid=852]](https://safegroup.pl/attachment.php?aid=852)
Ruchna Nigam, analityk ds. bezpieczeństwa FortiGuard Labs
Zainfekowane systemy SCADA oferowane do sprzedaży w cyberpodziemiu
Na podziemnych forach internetowych znaleziono oferty sprzedaży zainfekowanych systemów SCADA odpowiedzialnych za nadzór procesów produkcyjnych i technologicznych. Oferty obejmowały zrzuty ekranowe, a nawet trzy francuskie adresy IP i hasła VNC. Choć autentyczność tych danych nie została potwierdzona, jest duże prawdopodobieństwo, że gotowe do użycia, podatne na ataki systemy SCADA stają się kolejnym towarem, który można łatwo kupić w cyberprzestępczym podziemiu.
Przytoczone powyżej sytuacje to tylko trzy przykłady ze znacznie dłuższej listy. Jak wynika z biuletynu organizacji ICS-CERT, w roku finansowym 2015 do ICS-CERT zgłoszono łącznie 295 incydentów. Najwięcej (97,33%) dotyczyło ataków na infrastruktury w sektorze produkcji krytycznej. Na drugim miejscu znalazł się sektor energetyczny (46,16%). Za przyczynę wzrostu tych pierwszych w porównaniu z rokiem 2014 uznano zakrojoną na szeroką skalę kampanię spear-phishingu, której celem były głównie firmy z tego sektora (ataki na inne sektory miały mniejszy zasięg).
Jak się chronić?
Jednym z największych problemów dla firm, które chcą zabezpieczyć swoje systemy ICS, jest wysoki stopień zaawansowania współczesnych ataków. Istnieją też dodatkowe utrudnienia, takie jak branżowy charakter systemów, regulacji i praktyk. Systemy ISC w poszczególnych firmach pochodzą najczęściej od różnych dostawców i są wyposażone we własne systemy operacyjne, aplikacje oraz protokoły (np. GE, Rockwell, DNP3 lub Modbus). Z tego powodu zabezpieczenia oparte na hoście, przeznaczone dla systemów informatycznych przedsiębiorstw, w zasadzie nie są dostępne dla ICS, a wiele zabezpieczeń sieci opracowanych z myślą o powszechnie używanych aplikacjach i protokołach raczej nie spełni swojej funkcji w systemach ICS.
Można sformułować kilka zaleceń dotyczących bezpieczeństwa, które pomogą firmom w uniknięciu poważnych problemów:
Walka z phishingiem. Dobre oprogramowanie antywirusowe ostrzegające o niebezpiecznych załącznikach może stanowić dodatkową warstwę ochronną, która pomoże w walce z phishingiem, czyli wyłudzaniem danych wrażliwych za pomocą wiadomości e-mail. Praktycznie we wszystkich atakach zarówno na systemy ICS, jak i środowiska informatyczne przedsiębiorstw zastosowano phishing ukierunkowany (tzw. spear-phishing). Na przykład jeden z ataków zgłoszonych do zespołu ICS-CERT polegał na tym, że cyberprzestępcy utworzyli konto na portalu społecznościowym, z którego następnie wysyłali wiadomości, podszywając się pod osoby szukające pracy. W ten sposób dotarli do pracowników przedsiębiorstwa zarządzającego infrastrukturą o znaczeniu krytycznym, od których wyłudzili takie dane, jak nazwisko dyrektora ds. informatycznych oraz wersje używanego w firmie oprogramowania. Pracownicy ci otrzymali e-mail z CV domniemanego kandydata załączonym jako plik „resume.rar”. Załącznik zawierał szkodliwe oprogramowanie, które zainfekowało systemy pracowników. Na szczęście udało się zapobiec jego rozprzestrzenieniu na systemy kontrolne.
Rejestrowanie incydentów i regularne skanowanie sieci. Rejestrowanie zdarzeń w dzienniku jest bardzo dobrym sposobem monitorowania działań wykonywanych w systemach, a w przypadku incydentów ułatwia znalezienie ich przyczyn. Wielokrotnie umożliwiło również szybkie wykrycie infekcji. Z tego powodu prowadzenie dziennika jest szczególnie polecane administratorom systemów ICS. Inną dobrą praktyką jest regularne skanowanie sieci, które również ułatwia szybkie wykrywanie infekcji.
Wzrost świadomości i konkretne działania
Jest jednak dobra wiadomość ― w ostatnich latach znacznie wzrosła świadomość problemów związanych z podatnością systemów ICS na ataki i podjęto już pierwsze kroki w celu ich wyeliminowania. Mają w tym swój udział instytucje rządowe, takie jak zespół ds. reagowania na problemy z zabezpieczeniami przemysłowych systemów sterujących (Industrial Control Systems Cyber Emergency Response Team ― ICS-CERT) w Stanach Zjednoczonych oraz centrum ochrony infrastruktury krajowej (Centre for Protection of National Infrastructure ― CPNI) w Wielkiej Brytanii. Instytucje te publikują porady, wskazówki i najlepsze praktyki dotyczące bezpieczeństwa systemów ICS.
Nie bez znaczenia było również wprowadzenie wspólnych standardów, takich jak ISA/IEC-62443 (dawniej ISA-99). Opracowany przez Międzynarodowe Stowarzyszenie ds. Automatyzacji (International Society for Automation ― ISA) jako ISA-99, a następnie przemianowany na ISA/IEC 62443 zgodnie z wymaganiami Międzynarodowej Komisji Elektrotechnicznej (International Electro-Technical Commission ― IEC), dokument ten określa ogólne ramy projektowania, planowania i integrowania bezpiecznych systemów ICS oraz zarządzania nimi.
Źródło: Fortinet
Przemysłowe systemy sterujące (ang. Industrial Control Systems ― ICS) kontrolują i monitorują procesy będące podstawą funkcjonowania nowoczesnego społeczeństwa. Są to m.in. przesył energii elektrycznej, transport ropy i gazu za pomocą rurociągów i gazociągów, dystrybucja wody czy sterowanie światłami drogowymi.
W ostatnich latach systemy ICS padały ofiarą coraz częstszych i coraz bardziej zaawansowanych cyberataków. Wynika to m.in. z nieuniknionej konwergencji technologii operacyjnych z informatycznymi. Podobnie jak we wszystkich innych
obszarach technologii obliczeniowych, ceną za korzyści, takie jak lepsza łączność sieci (dzięki stosowaniu otwartych standardów np. Ethernet i TCP/IP) oraz oszczędności (wynikające z zastąpienia wyspecjalizowanych, licencjonowanych rozwiązań sprzętem i oprogramowaniem prosto z półki) jest większe narażenie na ataki cyberprzestępców.
O ile jednak w większości systemów informatycznych skutki ataków są ograniczone do strat finansowych, to ataki na systemy ICS mogą również zniszczyć urządzenia o znaczeniu krytycznym oraz zagrozić bezpieczeństwu kraju, a nawet życiu ludzi.
Inne są również profile i motywy potencjalnych sprawców. Podczas gdy większość współczesnych cyberprzestępców kieruje się chęcią zysku, to w przypadku ataków na systemy ICS jest inaczej. Wystarczy przyjrzeć się incydentom tego rodzaju, które miały miejsce w 2015 roku. Poniżej najważniejsze z nich.
Pierwsza spowodowana przez hakera przerwa w dostawie energii elektrycznej na Ukrainie
23 grudnia 2015 roku w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej wynikająca z niesprawności 57 podstacji zasilania. Z początku za przyczynę uznano „zakłócenia” w systemie monitorowania spowodowane przez jedną z elektrowni. Później jednak stwierdzono, że chodzi o atak hakerów na systemy ICS tych elektrowni. 4 stycznia 2016 r. przyczynę awarii potwierdził ukraiński oddział organizacji CERT (CERT-UA). Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego.
Ten zaawansowany, dobrze zaplanowany atak składał się z 3 etapów:
1. Zainfekowania systemów metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro.
2. Przejęcia systemu i uniemożliwienia jego odzyskania poprzez usunięcie plików systemowych z systemów sterujących.
3. Ataków DDoS (ang. Distributed Denial of Service ― rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta różnych elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.
Stwierdzono, że w tych atakach użyto znanego od 2007 roku, szkodliwego oprogramowania z rodziny BlackEnergy, W 2014 r. wykryto również inne jego odmiany, które gromadzą informacje dotyczące infrastruktury SCADA.
Potwierdzenie ataków rozpoznawczych na systemy ICS w Stanach Zjednoczonych
Opublikowane w grudniu 2015 r. dwa raporty o atakach na systemy ICS w Stanach Zjednoczonych dotyczyły ataków rozpoznawczych, tj. mających na celu nie uszkodzenie systemów, ale zdobycie informacji.
Pierwszy z tych raportów opisuje niepotwierdzony wcześniej atak na zaporę wodną Bowman Avenue Dam w Nowym Jorku w 2013 roku. Choć sama zapora nie została uszkodzona, cyberprzestępcy przeszukali zainfekowane komputery, prawdopodobnie w celu zebrania określonych informacji. Potwierdzono również, że ataku dokonali irańscy hakerzy.
W drugim przypadku analiza komputera należącego do kontrahenta firmy Calpine – największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych – wykazała, że komputer ten został zaatakowany przez hakerów, którzy skradli dane dotyczące koncernu. Skradzione informacje znaleziono na jednym z serwerów FTP należących do cyberprzestępców, który kontaktował się z zainfekowanymi systemami. Były to m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami Calpine oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych.
Ruchna Nigam, analityk ds. bezpieczeństwa FortiGuard Labs
Zainfekowane systemy SCADA oferowane do sprzedaży w cyberpodziemiu
Na podziemnych forach internetowych znaleziono oferty sprzedaży zainfekowanych systemów SCADA odpowiedzialnych za nadzór procesów produkcyjnych i technologicznych. Oferty obejmowały zrzuty ekranowe, a nawet trzy francuskie adresy IP i hasła VNC. Choć autentyczność tych danych nie została potwierdzona, jest duże prawdopodobieństwo, że gotowe do użycia, podatne na ataki systemy SCADA stają się kolejnym towarem, który można łatwo kupić w cyberprzestępczym podziemiu.
Przytoczone powyżej sytuacje to tylko trzy przykłady ze znacznie dłuższej listy. Jak wynika z biuletynu organizacji ICS-CERT, w roku finansowym 2015 do ICS-CERT zgłoszono łącznie 295 incydentów. Najwięcej (97,33%) dotyczyło ataków na infrastruktury w sektorze produkcji krytycznej. Na drugim miejscu znalazł się sektor energetyczny (46,16%). Za przyczynę wzrostu tych pierwszych w porównaniu z rokiem 2014 uznano zakrojoną na szeroką skalę kampanię spear-phishingu, której celem były głównie firmy z tego sektora (ataki na inne sektory miały mniejszy zasięg).
Jak się chronić?
Jednym z największych problemów dla firm, które chcą zabezpieczyć swoje systemy ICS, jest wysoki stopień zaawansowania współczesnych ataków. Istnieją też dodatkowe utrudnienia, takie jak branżowy charakter systemów, regulacji i praktyk. Systemy ISC w poszczególnych firmach pochodzą najczęściej od różnych dostawców i są wyposażone we własne systemy operacyjne, aplikacje oraz protokoły (np. GE, Rockwell, DNP3 lub Modbus). Z tego powodu zabezpieczenia oparte na hoście, przeznaczone dla systemów informatycznych przedsiębiorstw, w zasadzie nie są dostępne dla ICS, a wiele zabezpieczeń sieci opracowanych z myślą o powszechnie używanych aplikacjach i protokołach raczej nie spełni swojej funkcji w systemach ICS.
Można sformułować kilka zaleceń dotyczących bezpieczeństwa, które pomogą firmom w uniknięciu poważnych problemów:
Walka z phishingiem. Dobre oprogramowanie antywirusowe ostrzegające o niebezpiecznych załącznikach może stanowić dodatkową warstwę ochronną, która pomoże w walce z phishingiem, czyli wyłudzaniem danych wrażliwych za pomocą wiadomości e-mail. Praktycznie we wszystkich atakach zarówno na systemy ICS, jak i środowiska informatyczne przedsiębiorstw zastosowano phishing ukierunkowany (tzw. spear-phishing). Na przykład jeden z ataków zgłoszonych do zespołu ICS-CERT polegał na tym, że cyberprzestępcy utworzyli konto na portalu społecznościowym, z którego następnie wysyłali wiadomości, podszywając się pod osoby szukające pracy. W ten sposób dotarli do pracowników przedsiębiorstwa zarządzającego infrastrukturą o znaczeniu krytycznym, od których wyłudzili takie dane, jak nazwisko dyrektora ds. informatycznych oraz wersje używanego w firmie oprogramowania. Pracownicy ci otrzymali e-mail z CV domniemanego kandydata załączonym jako plik „resume.rar”. Załącznik zawierał szkodliwe oprogramowanie, które zainfekowało systemy pracowników. Na szczęście udało się zapobiec jego rozprzestrzenieniu na systemy kontrolne.
Rejestrowanie incydentów i regularne skanowanie sieci. Rejestrowanie zdarzeń w dzienniku jest bardzo dobrym sposobem monitorowania działań wykonywanych w systemach, a w przypadku incydentów ułatwia znalezienie ich przyczyn. Wielokrotnie umożliwiło również szybkie wykrycie infekcji. Z tego powodu prowadzenie dziennika jest szczególnie polecane administratorom systemów ICS. Inną dobrą praktyką jest regularne skanowanie sieci, które również ułatwia szybkie wykrywanie infekcji.
Wzrost świadomości i konkretne działania
Jest jednak dobra wiadomość ― w ostatnich latach znacznie wzrosła świadomość problemów związanych z podatnością systemów ICS na ataki i podjęto już pierwsze kroki w celu ich wyeliminowania. Mają w tym swój udział instytucje rządowe, takie jak zespół ds. reagowania na problemy z zabezpieczeniami przemysłowych systemów sterujących (Industrial Control Systems Cyber Emergency Response Team ― ICS-CERT) w Stanach Zjednoczonych oraz centrum ochrony infrastruktury krajowej (Centre for Protection of National Infrastructure ― CPNI) w Wielkiej Brytanii. Instytucje te publikują porady, wskazówki i najlepsze praktyki dotyczące bezpieczeństwa systemów ICS.
Nie bez znaczenia było również wprowadzenie wspólnych standardów, takich jak ISA/IEC-62443 (dawniej ISA-99). Opracowany przez Międzynarodowe Stowarzyszenie ds. Automatyzacji (International Society for Automation ― ISA) jako ISA-99, a następnie przemianowany na ISA/IEC 62443 zgodnie z wymaganiami Międzynarodowej Komisji Elektrotechnicznej (International Electro-Technical Commission ― IEC), dokument ten określa ogólne ramy projektowania, planowania i integrowania bezpiecznych systemów ICS oraz zarządzania nimi.
Źródło: Fortinet