Anatomia ataków SCADA, czyli o włamaniach do systemów przemysłowych

Głośny atak amerykańskiego wirusa Stuxnet, który w 2010 roku zdestabilizował pracę wirówek wzbogacających uran w Iranie, był jak zimny prysznic dla szefów IT wielu firm na całym świecie. Okazało się bowiem, że można włamywać się do systemów informatycznych nadzorujących przebieg procesów technologicznych lub produkcyjnych (ang. SCADA, Supervisory Control And Data Acquisition) i powodować znaczne szkody. Możliwość zorganizowania takiego ataku to woda na młyn dla szpiegów przemysłowych, nieuczciwej konkurencji czy szantażystów. Od jak dawna takie ataki funkcjonują w cyberprzestrzeni? Jakie techniki stosują przestępcy, by włamać się do systemów SCADA? Jakie są tego skutki dla przedsiębiorstw? Swoim doświadczeniem w ocenie tego zjawiska dzieli się Ruchna Nigam, analityk ds. bezpieczeństwa z laboratoriów FortiGuard Labs firmy Fortinet.
Systemy SCADA są stosowane w wielu różnych gałęziach przemysłu. Odpowiadają na przykład za sterowanie turbinami w elektrowniach czy prawidłowy transport ropy i gazu w sieciach przesyłowych. Na lotniskachsą odpowiedzialne za działanie wykrywaczy metalu. Możemy je spotkać także w fabrykach, gdzie są odpowiedzialne za monitorowanie wielu procesów, m.in. nagrzewanie, wentylację czy zużycie energii elektrycznej. Ataki na takie systemy mogą prowadzić do poważnych uszkodzeń instalacji przemysłowych, a w konsekwencji nawet do wyeliminowania z rynku danego przedsiębiorstwa. Właśnie dlatego są one jednymi z najbardziej destrukcyjnych narzędzi stosowanych przez hakerów. Z wyżej wymienionych powodów są też dla nich bardzo atrakcyjne.
To alarmujące, że dopiero wykrycie Stuxnetu uświadomiło firmom możliwe konsekwencje zainfekowania infrastruktury SCADA. Nie był on bowiem pierwszym znanym wirusem atakującym system przemysłowy. Medialny szum wokół ataku otworzył oczy opinii publicznej. Po raz pierwszy udowodniono, że zaawansowane robaki i wirusy mogą zniszczyć nie tylko cyfrowe dane na komputerach, ale także systemy chłodzenia reaktorów, procesy produkcji groźnych dla środowiska substancji chemicznych oraz sieć energetyczną. Wszystko to składa się na tzw. krytyczną infrastrukturę państwa. Jej destabilizacja to priorytet we współczesnej cyberwojnie, której celem jest przejęcie kontroli nad wrogim państwem.
Jaka jest historia ataków na systemy SCADA? Jak wyglądała ich ewolucja przed Stuxnetem i po? Znane ataki na sieci przemysłowe możemy sklasyfikować w trzech kategoriach:
Niepotwierdzone ataki celowane
1982: Pierwszy atak na systemy przemysłowe mógł się wydarzyć już w 1982 roku, a wszystko miało rozpocząć się za sprawą Vladimira Vetrova, pułkownika KGB i szpiega, który na początku lat 80. zdecydował się współpracować z NATO i wywiadem francuskim. Vetrov przekazał sprzymierzonym prawie 4000 tajnych dokumentów, w tym listę 250 aktywnych radzieckich szpiegów przemysłowych rozsianych po całym świecie. Informacje zawarte w teczkach Vetrova (ang. Farewell Dossier) sugerują, że Centralna Agencja Wywiadowcza USA (CIA), zamiast od razu zdemaskować agentów, postanowiła użyć fortelu. W efekcie do Związku Radzieckiego trafiło wiele specjalnie źle zaprojektowanych części, które następnie zostały użyte do budowy gazociągu Transsyberyjskiego (Urengoj?Surgut?Czelabińsk). Przypuszcza się, że do systemu SCADA odpowiedzialnego za sterowanie przesyłem gazu w rurociągu, który Rosjanie skopiowali od kanadyjskiej firmy, wprowadzono także konia trojańskiego, który spowodował słynną eksplozję. Żadna ze stron nigdy nie potwierdziła tego scenariusza, a akta Vetrova wspominają jedynie o celowo uszkodzonych turbinach.
1999: Istnieją doniesienia o ataku z roku 1999 na Gazprom, rosyjskiego potentata gazowego. Koń trojański, który miał trafić do systemu sterowania jednym z rurociągów za pośrednictwem wprowadzonego do organizacji kreta (podstawionej przez wrogą instytucję lub kraj osoby), miał na kilka godzin zakłócić przepływ gazu, ale nigdy nie został przez Gazprom potwierdzony.
<—newpage—>Potwierdzone ataki celowane
2009: Światowe korporacje petrochemiczne, w tym Exxon, Shell czy BP zostały zaatakowane przez wirusa o nazwie nocny smok (Night Dragon), dystrybuowanego przez e-mail za pomocą metody spear phishing. Zainfekowane komputery mogły być zdalnie kontrolowane przez hakera. Atakujący prześwietlili plany operacyjne systemów SCADA i ukradli z nich istotne dane.
2014: Pojawia się Havex ukrywający się w zmodyfikowanych instalatorach oprogramowania dla systemów SCADA, dostępnych na oficjalnych stronach producentów (!). Zaprogramowano go tak, by skanował sieć lokalną i dane odbierane od instalacji przemysłowych, a następnie wysyłał zebrane informacje do serwera command and control. Scenariusz działania obejmował zakrojone na szeroką skalę szpiegostwo przemysłowe.
Kolejny intruz ? Blacken ? został znaleziony na serwerze command and control istniejącego botnetu. Jest skierowany do użytkowników oprogramowania SCADA GE Cimplicity i instaluje pliki wykonywalne w katalogu głównym programu. Niektóre z tych plików wykonywalnych są botami, które mogą być zdalnie kontrolowane. Blacken odwołuje się również do plików projektowych Cimplicity, ale w tym przypadku dokładne działanie szkodnika nie jest jeszcze znane.
Warto wspomnieć również o ataku na jedną z niemieckich hut stali. Z raportu niemieckiego Biura Federalnego ds. Bezpieczeństwa Informacji (niem. Bundesamt für Sicherheit in der Informationstechnik), wynika, iż w 2014 roku spowodował on poważne straty finansowe i fizyczne. Atakujący wykorzystali sztuczki socjotechniczne i maile phishingowe, by uzyskać dostęp do wewnętrznej sieci huty. Następnie włamali się do sieci przemysłowej. Hakerzy byli bardzo doświadczeni nie tylko w zakresie informatyki, ale posiadali także olbrzymią wiedzę z zakresu inżynierii produkcji i systemów sterowania (ang. Industrial Control Systems, ICS) oraz procesu produkcji stali. Wszystko wskazuje więc na nieuczciwą konkurencję albo wywiad obcego państwa. Choć szczegóły działania szkodnika nie zostały ujawnione, doprowadził on do zaburzenia poszczególnych parametrów kontrolnych procesu wytapiania, co doprowadziło do niekontrolowanego zamknięcia wielkiego pieca, powodując ogromne uszkodzenia.
Potwierdzone ataki niecelowane
Co ciekawe świat zna także kilka zupełnie przypadkowych infekcji systemów SCADA. Fakt, że nie były one celowane nie oznacza, że były mniej groźne.
2003: Elektrownia atomowa Davis-Besse z Ohio w USA i amerykański przewoźnik kolejowy CSX Corporation padły ofiarą robaków Slammer i Sobig. Slammer dokonał ataku DoS (ang. denial of service, odmowa usługi) na sieć elektrowni, co spowodowało pięciogodzinną utratę kontroli nad jej systemami bezpieczeństwa. Na szczęście obyło się bez katastrofy nuklearnej. Sobig unieruchomił natomiast system dyspozytorski oraz sygnalizację świetlną, co spowodowało znaczne opóźnienia w ruchu pociągów.
2004: Przewoźnicy tacy jak British Airways, Railcorp czy Delta Airlines padli ofiarą robaka Sasser, który wykorzystał błąd przepełnienia bufora do propagacji na inne dziurawe systemy. Niektóre z agresywnych odmian szkodnika powodowały przeciążenie sieci. W efekcie wiele lotów i pociągów odnotowało opóźnienia. W najgorszych przypadkach loty zostały odwołane.
2009: Francuska marynarka wojenna została zaatakowana przez wirusa o nazwie Conficker. Wykorzystywał on luki w systemie Windows oraz kradł hasła administratorów, by następnie mnożyć się na wszystkich podatnych maszynach, pozyskiwać automatyczne aktualizacje i instalować inny szkodliwy malware. Jak jego obecność odbiła się na funkcjonowaniu całego systemu? Otóż spowodowała niemożność odtworzenia planów lotu dla uziemionych samolotów.
Podsumowując wszystkie znane przypadki ataków na systemy SCADA, możemy wysnuć kilka wniosków. Po pierwsze, za wyjątkiem Stuxnetu i wirusa, który zaatakował niemiecką hutę, żadne inne ataki nie wyrządziły fizycznych szkód. Dlaczego? Ponieważ tak zaawansowany atak wymaga nie tylko nie lada umiejętności, ale również wiedzy technicznej oraz dużych środków finansowych. Nie oznacza to jednak, że takie ataki nie będą następować częściej, ponieważ stawka jest wysoka. To właśnie drugi wniosek. Z biegiem lat liczba ataków na systemy przemysłowe wyraźnie wzrasta, choć na pewno wiele z nich, zwłaszcza mających na celu szpiegostwo przemysłowe, pozostaje w głębokim ukryciu. Patrząc na ewolucję działań cyberprzestępców, możemy być jednak pewni, że będziemy słyszeć o podobnych incydentach coraz częściej. Dla firm oznacza to jedno ? najwyższy czas przyjrzeć się zabezpieczeniom swoich sieci technologicznych.