Anatomia ataków na infrastrukturę SCADA

Od jak dawna takie ataki funkcjonują w cyberprzestrzeni? Jakie techniki stosują przestępcy, by włamać się do systemów SCADA? Jakie są tego skutki dla przedsiębiorstw? Postaramy się udzielić odpowiedzi na te pytania.

Głośny atak amerykańskiego wirusa Stuxnet, który w 2010 roku zdestabilizował pracę wirówek wzbogacających uran w Iranie, był jak zimny prysznic dla szefów IT wielu firm na całym świecie. Okazało się bowiem, że można włamywać się do systemów informatycznych SCADA nadzorujących przebieg procesów technologicznych lub produkcyjnych i powodować znaczne szkody mimo to, że fizycznie sieci nie były ze sobą połączone żadnym stałym połączeniem.

Systemy SCADA są stosowane w wielu różnych gałęziach przemysłu. Odpowiadają na przykład za sterowanie turbinami w elektrowniach czy prawidłowy transport ropy i gazu w sieciach przesyłowych. Na lotniskach są odpowiedzialne za działanie wykrywaczy metalu. Możemy je spotkać także w fabrykach, gdzie są odpowiedzialne za monitorowanie wielu procesów, m.in. nagrzewanie, wentylację czy zużycie energii elektrycznej. Ataki na takie systemy mogą prowadzić do poważnych uszkodzeń instalacji przemysłowych, a w konsekwencji nawet do wyeliminowania z rynku danego przedsiębiorstwa. Właśnie dlatego są one jednymi z najbardziej destrukcyjnych narzędzi stosowanych przez hakerów. Z wyżej wymienionych powodów są też dla nich bardzo atrakcyjne.

Zobacz również:

Ruchna Nigam, analityk do spraw bezpieczeństwa FortiGuard Labs mówi: „To alarmujące, że dopiero wykrycie Stuxnetu uświadomiło firmom możliwe konsekwencje zainfekowania infrastruktury SCADA. Nie był on bowiem pierwszym znanym wirusem atakującym system przemysłowy, ale utworzony wokół niego szum medialny sprawił, że po raz pierwszy publicznie specjaliści zaczęli się zastanawiać nad bezpieczeństwem takiej infrastruktury. Po raz pierwszy udowodniono, że zaawansowane robaki i wirusy mogą zniszczyć nie tylko cyfrowe dane na komputerach, ale także systemy chłodzenia reaktorów, procesy produkcji groźnych dla środowiska substancji chemicznych oraz sieć energetyczną. Wszystko to składa się na krytyczną infrastrukturę państwa. Jej destabilizacja to priorytet we współczesnej cyberwojnie, której celem jest przejęcie kontroli nad wrogim państwem”.

Jaka jest historia ataków na systemy SCADA? Jak wyglądała ich ewolucja przed Stuxnetem i po? Znane ataki na sieci przemysłowe możemy sklasyfikować w trzech kategoriach: niepotwierdzone ataki kierowane oraz ataki potwierdzone kierowane i ogólne.

Niepotwierdzone ataki kierowane

1982: Pierwszy atak na systemy przemysłowe mógł się wydarzyć już w 1982 roku, a wszystko miało rozpocząć się za sprawą Władymira Wietrowa, pułkownika KGB i szpiega, który na początku lat 80. rozpoczął współpracę z NATO i wywiadem francuskim. Wietrow przekazał prawie 4000 tajnych dokumentów, w tym listę 250 aktywnych radzieckich szpiegów przemysłowych rozsianych po całym świecie. Informacje zawarte w teczkach Wietrowa sugerują, że CIA nie zdemaskowała agentów od razu, ale postanowiła wykorzystać ich aktywność. Do Związku Radzieckiego trafiło zatem wiele części, które zostały celowo źle zaprojektowane. Posłużyły one do budowy gazociągu transsyberyjskiego (Urengoj–Surgut–Czelabińsk). Przypuszcza się, że do systemu SCADA odpowiedzialnego za sterowanie przesyłem gazu w rurociągu, który Rosjanie skopiowali od kanadyjskiej firmy, wprowadzono także konia trojańskiego, który spowodował słynną eksplozję. Żadna ze stron nigdy nie potwierdziła tego scenariusza, a akta Wietrowa wspominają jedynie o celowo uszkodzonych turbinach. Atak, który za pomocą konia trojańskiego w oprogramowaniu wykorzystał podatność sprzętową turbin byłby jednak jak najbardziej kierowanym atakiem cybernetycznym.

1999: Istnieją doniesienia o ataku z roku 1999 na Gazprom, rosyjskiego potentata gazowego. Koń trojański, który miał trafić do systemu sterowania jednym z rurociągów za pośrednictwem podstawionej do organizacji osoby miał na kilka godzin zakłócić przepływ gazu. Gazprom nigdy tego ataku nie potwierdził.

Potwierdzone ataki kierowane

2009: Światowe korporacje petrochemiczne, w tym Exxon, Shell czy BP zostały zaatakowane przez wirusa o nazwie nocny smok (Night Dragon), dystrybuowanego w wiadomościach poczty elektronicznej. Metoda dystrybucji odpowiada dzisiejszym kampaniom spear phishing. Zainfekowane komputery utworzyły botnet i mogły być zdalnie kontrolowane przez hakera. Atakujący pozyskali plany operacyjne systemów SCADA i ukradli z nich istotne dane.