Cyberprzestępcy odetną nam prąd?
Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy coraz częściej podejmują ataki na systemy sterujące krytyczną infrastrukturą. Warto się zatem przyjrzeć, jak aktualnie wygląda kwestia ich zabezpieczeń.
05.05.2016 10:58
Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy nierzadko podejmują ataki na systemy sterujące krytyczną infrastrukturą. Warto się zatem przyjrzeć, jak aktualnie wygląda kwestia ich zabezpieczeń.
- _ Jeszcze kilka lat temu trudno było sobie wyobrazić, że przerwa w dostawie gazu czy prądu lub problemy z komunikacją w mieście mogą być efektem ataku hakerskiego. Obecnie odnotowujemy coraz więcej włamań do infrastruktury krytycznej różnych państw. Ostatnie bardzo poważne zdarzenie miało miejsce na Ukrainie _ - mówi Mariusz Rzepka, dyrektor Fortinet na Polskę, Ukrainę i Białoruś.
W grudniu w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej wynikająca z niesprawności 5. podstacji zasilania. Z początku za przyczynę uznano "zakłócenia" w systemie monitorowania spowodowane przez jedną z elektrowni. Później jednak stwierdzono, że chodzi o atak hakerów na systemy ICS tych elektrowni. 4 stycznia 2016 r. przyczynę awarii potwierdził ukraiński oddział organizacji CERT (CERT-UA). Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego.
Ten zaawansowany, dobrze zaplanowany atak składał się z trzech etapów:
- Zainfekowania systemów metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro.
- Przejęcia systemu i uniemożliwienia jego odzyskania poprzez usunięcie plików systemowych z systemów sterujących.
- Ataków DDoS (ang. Distributed Denial of Service - rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta różnych elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.
Stwierdzono, że w tych atakach użyto znanego od 200. roku, szkodliwego oprogramowania z rodziny BlackEnergy. W 2014 r. wykryto również inne jego odmiany, które gromadzą informacje dotyczące infrastruktury SCADA. Opublikowane w grudniu 2015 r. dwa raporty o atakach na systemy ICS w Stanach Zjednoczonych dotyczyły ataków rozpoznawczych, tj. mających na celu nie uszkodzenie systemów, ale zdobycie informacji.
Pierwszy z tych raportów opisuje niepotwierdzony wcześniej atak na zaporę wodną Bowman Avenue Dam w Nowym Jorku w 2013 roku. Choć sama zapora nie została uszkodzona, cyberprzestępcy przeszukali zainfekowane komputery, prawdopodobnie w celu zebrania określonych informacji. Potwierdzono również, że ataku dokonali irańscy hakerzy. W drugim przypadku analiza komputera należącego do kontrahenta firmy Calpine - największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych - wykazała, że komputer ten został zaatakowany przez hakerów, którzy skradli dane dotyczące koncernu. Skradzione informacje znaleziono na jednym z serwerów FTP należących do cyberprzestępców, który kontaktował się z zainfekowanymi systemami. Były to m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami Calpine oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych.