Cyberataki na systemy przemysłowe

Systemy przemysłowe zwłaszcza te najistotniejsze będące częścią infrastruktury krytycznej są niezbędne dla poprawnego działania państwa. Nie ma żadnych wątpliwości, że ataki na tego typu systemy mogą nieść za sobą bardzo poważne konsekwencje, np. brak dostępu do elektryczności, paliw czy środków transportu. Przykładem takiego ataku jest ukraińska branża energetyczna, kiedy użyto „CrashOverride” – kompleksowego zestawu oprogramowania szkodliwego do przeprowadzania cyberataku na energetyczną infrastrukturę krytyczną w Kijowie. W czasie jego trwania część struktur odpowiedzialna za dostarczanie energii do miasta przestała działać. To oczywiście nie był pierwszy tego typu atak. Istnieje wiele rodzajów programów szkodliwych np. Stuxnet, Industroyer, Trisis, które służyły do ataków na różne systemy m.in. w sektorze elektrycznym, paliwowym, dystrybucji, czy typowych fabrykach (np. w fabrykach samochodów) na całym świecie.

Już od wielu lat specjaliści od cyberbezpieczeństwa zmagają się z różnymi problemami dotyczącymi ataków na infrastrukturę finansową, banki, płatności kartami czy bezpośrednio na użytkowników tych usług. Atakujący doskonale wiedzą, jak zdobyć dostęp do „elektronicznych” pieniędzy, które mogą później przeznaczyć na rozwój ich przestępczej działalności, np. na pozyskanie nowego „oprogramowania”. W obecnych czasach cyberprzestępczość to dobrze rozwijający się biznes, często zorganizowany na wzór korporacji, gdzie są osoby takie jak głównodowodzący, który sprawuje nadzór nad całością operacji, administratorzy, którzy przygotowują narzędzia do ataku oraz tzw. żołnierze, którzy przeprowadzają atak w poszczególnych jego fazach np. ransomware. Wzrost poziomu tego typu grup i aktywności na całym świecie jest ogromny, dlatego są one celem takich organizacji jak Interpol czy Europol, w których to szeregach powstały specjalne zespoły EC3 odpowiedzialne za walkę z tego typu przestępczością.

Rozwój systemów komunikacyjnych i informacyjnych oraz powszechny dostęp do Internetu przyczyniły się do wzrostu dynamiki zagrożeń, a sama walka z nimi wymaga bardzo kompleksowego podejścia. Kiedy tylko pojawiają w sieci Internet „nowe” rozwiązania czy urządzenia z dostępem do sieci (IoT – Internet of Things) przestępcy niemal natychmiast znajdują sposób, aby przejąć nad nimi kontrolę. Przykładem takich działań jest botnet Mirai, który zaatakował systemy wielu firm posługując się zainfekowanymi urządzeniami IoT, takimi jak lodówki i smart TV, które są podłączone do naszej domowej sieci.

Kiedy w roku 2016 i 2017 przeprowadzono ataki na Ukrainie używając oprogramowania Industroyer (CrashOverride) stało się jasne, że systemy przemysłowe są na celowniku cyberprzestępców. Systemy takie do niedawna nie były projektowane z myślą o odporności na cyberataki. Były one często projektowane i budowane np. 10, 20 czy nawet 30 lat temu i wiele fabryk do chwili obecnej używa urządzeń, które obecnemu użytkownikowi Internetu mogą wydawać się prehistoryczne, ale stale działają oraz często nadzorują całe procesy i systemy produkcyjne. Rozwiązania takie posiadają minimalne zabezpieczenia lub nie posiadają ich wcale, co w bardzo prosty sposób skłoniło hakerów do wzięcia ich na „swój celownik”.Jednak w przypadku “Industroyer’a” i ataków na ukraińską infrastrukturę, część ekspertów zakłada (a część jest nawet tego pewna), że atak był częścią zorganizowanych działań grup sponsorowanych przez obce służby, których celem był test „cyberobronności” kraju w przypadku tzw. „cyber-konfliktu”.

Dodatkowym przykładem cyberataku na systemy przemysłowe może być atak „Trisis”. Przeprowadzony na systemy bezpieczeństwa fizycznego zaprojektowane przez globalnego potentata instalacji przemysłowych. Podczas analizy tego ataku odkryto, że atakujący mógł manipulować urządzeniami w zupełnie inny sposób niż osoba obsługująca. W wyniku tego ataku osoba obsługująca dany sprzęt mogła zostać ranna lub nawet zginąć. Jest to pierwszy cyberatak, przeprowadzony bezpośrednio przez sieć Internet, który mógł mieć tak brzemienne skutki w realnym świecie. Pomimo wiedzy na ten temat, większość firm produkcyjnych nie podjęła konkretnych kroków, aby przygotować się na tego typu sytuacje. Wciąż większość firm wskazuje cyberataki jako konkretne zagrożenie, ale tylko 31% z nich posiada systemy, które mogę im zapobiec. Pozostałe 69% wciąż tkwi w przekonaniu, że ten problem ich nie dotyczy.

Na to zagadnienie trzeba także spojrzeć ze znacznie szerszej perspektywy. Atakujący wiedzą, że „świadomi” użytkownicy i organizacje mają wiedzę jak unikać zagrożeń i ataków. Dlatego szukają innych sposobów ataku, aby uzyskać dostęp do naszych zasobów. Skupiają się często na naszych dostawcach, kontrahentach, sprawdzają często cały łańcuch zaopatrzenia. Atakujący w takich przypadkach nie atakują głównej firmy, która jest świadoma zagrożeń i odpowiednio przygotowana na tego typu działania, a koncentrują swoje ataki na mniejszych firmach, potencjalnie „bezpiecznych” ze względu na swoje rozmiary, jednak często z dużymi problemami w zakresie świadomości i cyberbezpieczeństwa. Taki schemat działania został wykorzystany w roku 2013 podczas wykradzenia danych klientów firmy TARGET. Cyberprzestępcy w tym przypadku włamali się do systemów małej firmy, która była jednym z dostawców przedsiębiorstwa TARGET. Poprzez przejęte dane, zalogowali się do systemów, przejęli nad nimi kontrolę i skopiowali dane klientów włącznie z numerami ich kart kredytowych. Był to jeden z największych jak do tej pory wycieków danych w USA.

W większości przypadków istnieje duża liczba potencjalnych celów ataku, które są w jakiś sposób połączone z naszymi zasobami – np. poprzez kontrahentów sprzętu hardware i software. Pod uwagę należy także brać pracowników kontrahentów, którzy częstą nie są nadzorowani i szkoleni w zakresie zasad cyberbezpieczeństwa. Pracując w takich środowiskach, przedsiębiorstwa powinny stosować się do zasad bezpieczeństwa znanych od lat, opisanych w światowych standardach. Jeżeli pojawia się wątpliwości, do których dokładnie standardów powinniśmy się stosować, można odwołać się do standardu ISO/EIC 27001, który to dokładnie opisuje jak system bezpieczeństwa informacji powinien być zbudowany.

Nie jest to jednak panaceum na wszelkie cyber-zagrożenia. Aby móc podnieść poziom swojego cyberbezpieczeństwa, móc unikać ataków lub odpowiednio na nie reagować, należy „znać swojego wroga”. Kim są cyberprzestępcy, którzy dopuszczają się ataków na przemysłowe systemy kontroli? Cyber Threat Hunters zaobserwowali wzmożone zainteresowanie różnego rodzaju grup hakerskich właśnie systemami przemysłowymi - ICS. Dlaczego tylko niektóre z nich są w stanie przeprowadzić atak na tego typu systemy? Po pierwsze systemy ICS są kompletnie różnie od znanych wszem i wobec systemów IT, działają m.in. z wykorzystaniem innych urządzeń, systemami i protokołami komunikacji – dlatego aby przeprowadzić tego typu atak niezbędna jest odpowiednia wiedza i doświadczenie.

Warto też dodać, że większość narzędzi używanych w „klasycznych cyberatakach” jest bezużyteczna w zetknięciu się z systemami ICS (z wyżej wspomnianych względów). Przeprowadzając cyberatak grupa przestępcza musi posiadać odpowiednią wiedzę i narzędzia dostosowane do systemu, który chce zaatakować. Przykładem takiego narzędzia może być właśnie „Industroyer”, który jest zaawansowanym, modułowym zestawem kilku programów, potrafiących przeprowadzić kompleksowy atak na systemy przemysłowe. Analiza tego narzędzia pozwoliła wyciągnąć wnioski, że osoby stojące za przygotowaniem „Industroyera” miały kompleksową wiedzę o działaniu systemów ICT oraz jednocześnie dysponowały odpowiednimi środkami finansowymi, aby takie narzędzie stworzyć.

Jak wynika z badania dostarczonego przez Dragos (firmy która specjalizuje się w badaniach z zakresu cyberataków ICS) obecnie jest około 11 cybergrup, potocznie zwanych grupami APT (Adcanced Persistent Threat), które specjalizują się w atakach na systemy przemysłowe. Takie grupy używają różnego typu narzędzi, posiłkując się dobrze znanymi „hakerskimi technikami”, np. phising lub też bardziej wyrafinowanymi (np. speraphising). Cyberprzestępcy często używają także w stosunku do firm produkcyjnych oprogramowania, które blokuje/szyfruje dane blokując dostęp przedsiębiorstwa do jego własnych systemów – czyli ransomware.

„Dużym” celem cyberprzestępców był producent aluminium, firma Norsk-Hydro z Norwegii. Zaatakowana organizacja wskazała jako rozwiązanie problemu po ataku, przywrócenie funkcjonowania systemów z kopii zapasowych. Ale co by się stało, gdyby „backupy” nie istniały? To się zdarza i jedyne co pozostaje zaatakowanym organizacjom jest zapłacenie okupu, jeżeli chcą odzyskać dostęp do zaszyfrowanych danych. Ciężko jest odzyskać dane z krótkiego okresu czasu, jeżeli na bieżąco nie wykonujesz backupów i nie trzymasz ich w bezpiecznym miejscu, najlepiej bez dostępu do Internetu. A co, jeśli nie mamy wyboru i musimy zapłacić okup? Jest to strategiczna decyzja dla każdej organizacji, podejmowana w sytuacji zagrożenia działania dla całego przedsiębiorstwa. Należy mieć wtedy na uwadze, że okup w dużej części może być przeznaczony na przygotowanie jeszcze bardziej wyszukanych ataków i nie wykluczone, że ponownie zostaniemy zaatakowani.

Nasze systemy ICT są stale rozwijane, technologia wciąż dostarcza nowych rozwiązań. Często chętnie z nich korzystamy zapominając przy tym o podstawowych zasadach bezpieczeństwa. Nowe technologie, systemy, hardware powodują, że produkcja staje się bardziej efektywna i mniej kosztowna. Powszechnym zjawiskiem jest inwestowanie w systemy Industry 4.0, gdzie inteligentne rozwiązania, włączając w to np. roboty, które są odpowiedzialne za wykonywanie konkretnych zadań, często niebezpiecznych dla człowieka. I powstaje tutaj pytanie - czy cyberbezpieczeństwo nadąża za rozwojem takich systemów? Większość urządzeń i aplikacji jest niestety projektowana i wdrażana bez podstawowych protokołów bezpieczeństwa, które są w obecnych czasach niezbędne. Czy nasz system jest bezpieczny? Powinniśmy zaimplementować podstawowe zasady cyberbezpieczeństwa i stosować „dobre praktyki” podczas tworzenia i wdrażania tego typu rozwiązań zgodnie z zasadą – „security by design”. Powinniśmy pamiętać, aby edukować użytkowników naszego systemu, ponieważ zmiany zachodzące w cyberprzestrzeni są bardzo szybkie, a cyberprzestępcy na pewno wykorzystają każdą okazję, aby zrealizować swoje cele.

Autor: Jarek Sordyl, ICS specialist, Blueteamer, IT/OT practitioner, Cybersecuirty Leader.