Krytyczna infrastruktura zagrożona cyberatakami

Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy coraz częściej podejmują ataki na systemy sterujące krytyczną infrastrukturą. Warto się zatem przyjrzeć, jak aktualnie wygląda kwestia ich zabezpieczeń.

Przemysłowe systemy sterujące (ang. Industrial Control Systems ― ICS) kontrolują i monitorują procesy będące podstawą funkcjonowania nowoczesnego społeczeństwa. Są to m.in. przesył energii elektrycznej, transport ropy i gazu za pomocą rurociągów i gazociągów, dystrybucja wody czy sterowanie światłami drogowymi.

W ostatnich latach systemy ICS padały ofiarą coraz częstszych i coraz bardziej zaawansowanych cyberataków. Wynika to m.in. z nieuniknionej konwergencji technologii operacyjnych z informatycznymi. Podobnie jak we wszystkich innych obszarach technologii obliczeniowych, ceną za korzyści, takie jak lepsza łączność sieci (dzięki stosowaniu otwartych standardów np. Ethernet i TCP/IP) oraz oszczędności (wynikające z zastąpienia wyspecjalizowanych, licencjonowanych rozwiązań sprzętem i oprogramowaniem prosto z półki) jest większe narażenie na ataki cyberprzestępców.

O ile jednak w większości systemów informatycznych skutki ataków są ograniczone do strat finansowych, to ataki na systemy ICS mogą również zniszczyć urządzenia o znaczeniu krytycznym oraz zagrozić bezpieczeństwu kraju, a nawet życiu ludzi.

Inne są również profile i motywy potencjalnych sprawców. Podczas gdy większość współczesnych cyberprzestępców kieruje się chęcią zysku, to w przypadku ataków na systemy ICS jest inaczej. Wystarczy przyjrzeć się incydentom tego rodzaju, które miały miejsce w 2015 roku. Poniżej najważniejsze z nich.

Pierwsza spowodowana przez hakera przerwa w dostawie energii elektrycznej na Ukrainie

23 grudnia 2015 roku w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej wynikająca z niesprawności 57 podstacji zasilania. Z początku za przyczynę uznano „zakłócenia” w systemie monitorowania spowodowane przez jedną z elektrowni. Później jednak stwierdzono, że chodzi o atak hakerów na systemy ICS tych elektrowni. 4 stycznia 2016 r. przyczynę awarii potwierdził ukraiński oddział organizacji CERT (CERT-UA). Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego.

Ten zaawansowany, dobrze zaplanowany atak składał się z 3 etapów:

Zainfekowania systemów metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro.

Przejęcia systemu i uniemożliwienia jego odzyskania poprzez usunięcie plików systemowych z systemów sterujących.

Ataków DDoS (ang. Distributed Denial of Service ― rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta różnych elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.

Stwierdzono, że w tych atakach użyto znanego od 2007 roku, szkodliwego oprogramowania z rodziny BlackEnergy, W 2014 r. wykryto również inne jego odmiany, które gromadzą informacje dotyczące infrastruktury SCADA.

Potwierdzenie ataków rozpoznawczych na systemy ICS w Stanach Zjednoczonych

Opublikowane w grudniu 2015 r. dwa raporty o atakach na systemy ICS w Stanach Zjednoczonych dotyczyły ataków rozpoznawczych, tj. mających na celu nie uszkodzenie systemów, ale zdobycie informacji.

Pierwszy z tych raportów opisuje niepotwierdzony wcześniej atak na zaporę wodną Bowman Avenue Dam w Nowym Jorku w 2013 roku. Choć sama zapora nie została uszkodzona, cyberprzestępcy przeszukali zainfekowane komputery, prawdopodobnie w celu zebrania określonych informacji. Potwierdzono również, że ataku dokonali irańscy hakerzy.