Dziesięć lat od ataku Stuxnet. Jak obecnie rozwijają się zagrożenia wobec infrastruktury fizycznej?
Havex jest złośliwym oprogramowaniem typu Remote Access Trojan (RAT), które zostało odkryte w 2013 r. Stworzone przez grupę przestępczą znaną jako Grizzly Steppe, Havex atakował systemy kontroli przemysłowej (ICS) i komunikował się z serwerem nadzorującym pracę złośliwego kodu (Command&Control, C2), z którego dostarczane były kolejne moduły zawierające niebezpieczne narzędzia.
Kod tego narzędzia, specjalnie dostosowany do atakowania systemów ICS, gromadził dane przesyłane przez różne serwery z wykorzystaniem standardu otwartej platformy komunikacyjnej (Open Platform Communication, OPC), w tym takie informacje jak identyfikator klas CLSID, nazwę serwera, identyfikator programu, wersję OPC, informacje o producencie atakowanej platformy, stan pracy, liczbę grup i przepustowość serwera, a także był w stanie wyliczyć znaczniki OPC. Komunikując się z infrastrukturą C2, Havex otrzymywał instrukcje, które dawały możliwości nieznane dotąd złośliwemu oprogramowaniu.
2015: BlackEnergy
Odkryte w 2015 r. oprogramowanie BlackEnergy wykorzystywało makra w dokumentach Microsoft Excel. Złośliwe narzędzie dostawało się do sieci za pośrednictwem wiadomości e-mail typu spear-phishing, wysyłanych do konkretnych, starannie wybranych jako cel, pracowników. Kampania ta udowodniła, że cyberprzestępcy mogą manipulować infrastrukturą krytyczną na dużą skalę.
2017: TRITON
Złośliwe oprogramowanie, które jest ukierunkowane szczególnie na systemy zapewniające ochronę rozwiązań przemysłowych (Safety Instrumented System, SIS). Triton modyfikuje oprogramowanie układowe w pamięci, aby dodać do niego złośliwe funkcje. Pozwalało to przestępcom odczytać lub zmodyfikować zawartość pamięci i zaimplementować niestandardowy kod wraz z dodatkowymi instrukcjami, które miały na celu wyłączenie, spowolnienie pracy lub zmodyfikowanie rozwiązań umożliwiających bezpieczne wstrzymanie pracy procesu przemysłowego. Triton to pierwsze znane złośliwe oprogramowanie zaprojektowane specjalnie do atakowania systemów bezpieczeństwa przemysłowego, chroniących ludzkie życie.
W 2020 roku konieczna szeroka świadomość ryzyka
Bezpieczeństwo systemów ICS/SCADA powinno być traktowane priorytetowo ze względu na możliwe konsekwencje takiego ataku. Bardzo ważne również jest, aby reguły polityki bezpieczeństwa w przedsiębiorstwach były zgodne z obowiązującymi przepisami prawa.
Ryzyko związane z systemami przemysłowymi jest coraz szerzej znane i coraz bardziej priorytetowo traktowane. Istnieją instytucje rządowe, jak ICS-CERT w USA czy Centrum Ochrony Infrastruktury Narodowej (CPNI) w Wielkiej Brytanii, które publikują porady i wytyczne dotyczące najlepszych praktyk w zakresie bezpieczeństwa systemów ICS.
Odpowiednie normy zostały również opracowane przez Międzynarodowe Towarzystwo Automatyki (ISA). Natomiast organizacja non-profit ICS-ISAC podejmuje działania edukacyjne dotyczące świadomości zagrożeń i najlepszych praktyk, aby pomóc obiektom rozwijać świadomość dotyczącą sytuacji, w których może być zagrożone bezpieczeństwo lokalne, narodowe i międzynarodowe.
O autorze
