Cyberprzestępcy odetną nam prąd?
Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy coraz częściej podejmują ataki na systemy sterujące krytyczną infrastrukturą. Warto się zatem przyjrzeć, jak aktualnie wygląda kwestia ich zabezpieczeń.
Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy nierzadko podejmują ataki na systemy sterujące krytyczną infrastrukturą. Warto się zatem przyjrzeć, jak aktualnie wygląda kwestia ich zabezpieczeń.
- _ Jeszcze kilka lat temu trudno było sobie wyobrazić, że przerwa w dostawie gazu czy prądu lub problemy z komunikacją w mieście mogą być efektem ataku hakerskiego. Obecnie odnotowujemy coraz więcej włamań do infrastruktury krytycznej różnych państw. Ostatnie bardzo poważne zdarzenie miało miejsce na Ukrainie _ - mówi Mariusz Rzepka, dyrektor Fortinet na Polskę, Ukrainę i Białoruś.
W grudniu w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej wynikająca z niesprawności 5. podstacji zasilania. Z początku za przyczynę uznano "zakłócenia" w systemie monitorowania spowodowane przez jedną z elektrowni. Później jednak stwierdzono, że chodzi o atak hakerów na systemy ICS tych elektrowni. 4 stycznia 2016 r. przyczynę awarii potwierdził ukraiński oddział organizacji CERT (CERT-UA). Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego.
Ten zaawansowany, dobrze zaplanowany atak składał się z trzech etapów:
- Zainfekowania systemów metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro.
- Przejęcia systemu i uniemożliwienia jego odzyskania poprzez usunięcie plików systemowych z systemów sterujących.
- Ataków DDoS (ang. Distributed Denial of Service - rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta różnych elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.
Stwierdzono, że w tych atakach użyto znanego od 200. roku, szkodliwego oprogramowania z rodziny BlackEnergy. W 2014 r. wykryto również inne jego odmiany, które gromadzą informacje dotyczące infrastruktury SCADA. Opublikowane w grudniu 2015 r. dwa raporty o atakach na systemy ICS w Stanach Zjednoczonych dotyczyły ataków rozpoznawczych, tj. mających na celu nie uszkodzenie systemów, ale zdobycie informacji.
Pierwszy z tych raportów opisuje niepotwierdzony wcześniej atak na zaporę wodną Bowman Avenue Dam w Nowym Jorku w 2013 roku. Choć sama zapora nie została uszkodzona, cyberprzestępcy przeszukali zainfekowane komputery, prawdopodobnie w celu zebrania określonych informacji. Potwierdzono również, że ataku dokonali irańscy hakerzy. W drugim przypadku analiza komputera należącego do kontrahenta firmy Calpine - największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych - wykazała, że komputer ten został zaatakowany przez hakerów, którzy skradli dane dotyczące koncernu. Skradzione informacje znaleziono na jednym z serwerów FTP należących do cyberprzestępców, który kontaktował się z zainfekowanymi systemami. Były to m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami Calpine oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych.