Ataki SCADA, czyli o włamaniach do systemów przemysłowych

Przeczytaj także: Nowy szkodliwy program Gauss

Potwierdzone ataki celowane

2009: Światowe korporacje petrochemiczne, w tym Exxon, Shell czy BP zostały zaatakowane przez wirusa o nazwie nocny smok (Night Dragon), dystrybuowanego przez e-mail za pomocą metody spear phishing. Zainfekowane komputery mogły być zdalnie kontrolowane przez hakera. Atakujący prześwietlili plany operacyjne systemów SCADA i ukradli z nich istotne dane.

2014: Pojawia się Havex ukrywający się w zmodyfikowanych instalatorach oprogramowania dla systemów SCADA, dostępnych na oficjalnych stronach producentów (!). Zaprogramowano go tak, by skanował sieć lokalną i dane odbierane od instalacji przemysłowych, a następnie wysyłał zebrane informacje do serwera command and control. Scenariusz działania obejmował zakrojone na szeroką skalę szpiegostwo przemysłowe.

Kolejny intruz – Blacken – został znaleziony na serwerze command and control istniejącego botnetu. Jest skierowany do użytkowników oprogramowania SCADA GE Cimplicity i instaluje pliki wykonywalne w katalogu głównym programu. Niektóre z tych plików wykonywalnych są botami, które mogą być zdalnie kontrolowane. Blacken odwołuje się również do plików projektowych Cimplicity, ale w tym przypadku dokładne działanie szkodnika nie jest jeszcze znane.

Warto wspomnieć również o ataku na jedną z niemieckich hut stali. Z raportu niemieckiego Biura Federalnego ds. Bezpieczeństwa Informacji (niem. Bundesamt für Sicherheit in der Informationstechnik), wynika, iż w 2014 roku spowodował on poważne straty finansowe i fizyczne. Atakujący wykorzystali sztuczki socjotechniczne i maile phishingowe, by uzyskać dostęp do wewnętrznej sieci huty. Następnie włamali się do sieci przemysłowej. Hakerzy byli bardzo doświadczeni nie tylko w zakresie informatyki, ale posiadali także olbrzymią wiedzę z zakresu inżynierii produkcji i systemów sterowania (ang. Industrial Control Systems, ICS) oraz procesu produkcji stali. Wszystko wskazuje więc na nieuczciwą konkurencję albo wywiad obcego państwa. Choć szczegóły działania szkodnika nie zostały ujawnione, doprowadził on do zaburzenia poszczególnych parametrów kontrolnych procesu wytapiania, co doprowadziło do niekontrolowanego zamknięcia wielkiego pieca, powodując ogromne uszkodzenia.

Potwierdzone ataki niecelowane

Co ciekawe świat zna także kilka zupełnie przypadkowych infekcji systemów SCADA. Fakt, że nie były one celowane nie oznacza, że były mniej groźne.

2003: Elektrownia atomowa Davis-Besse z Ohio w USA i amerykański przewoźnik kolejowy CSX Corporation padły ofiarą robaków Slammer i Sobig. Slammer dokonał ataku DoS (ang. denial of service, odmowa usługi) na sieć elektrowni, co spowodowało pięciogodzinną utratę kontroli nad jej systemami bezpieczeństwa. Na szczęście obyło się bez katastrofy nuklearnej. Sobig unieruchomił natomiast system dyspozytorski oraz sygnalizację świetlną, co spowodowało znaczne opóźnienia w ruchu pociągów.

2004: Przewoźnicy tacy jak British Airways, Railcorp czy Delta Airlines padli ofiarą robaka Sasser, który wykorzystał błąd przepełnienia bufora do propagacji na inne dziurawe systemy. Niektóre z agresywnych odmian szkodnika powodowały przeciążenie sieci. W efekcie wiele lotów i pociągów odnotowało opóźnienia. W najgorszych przypadkach loty zostały odwołane.

2009: Francuska marynarka wojenna została zaatakowana przez wirusa o nazwie Conficker. Wykorzystywał on luki w systemie Windows oraz kradł hasła administratorów, by następnie mnożyć się na wszystkich podatnych maszynach, pozyskiwać automatyczne aktualizacje i instalować inny szkodliwy malware. Jak jego obecność odbiła się na funkcjonowaniu całego systemu? Otóż spowodowała niemożność odtworzenia planów lotu dla uziemionych samolotów.

Podsumowując wszystkie znane przypadki ataków na systemy SCADA, możemy wysnuć kilka wniosków. Po pierwsze, za wyjątkiem Stuxnetu i wirusa, który zaatakował niemiecką hutę, żadne inne ataki nie wyrządziły fizycznych szkód. Dlaczego? Ponieważ tak zaawansowany atak wymaga nie tylko nie lada umiejętności, ale również wiedzy technicznej oraz dużych środków finansowych. Nie oznacza to jednak, że takie ataki nie będą następować częściej, ponieważ stawka jest wysoka. To właśnie drugi wniosek. Z biegiem lat liczba ataków na systemy przemysłowe wyraźnie wzrasta, choć na pewno wiele z nich, zwłaszcza mających na celu szpiegostwo przemysłowe, pozostaje w głębokim ukryciu. Patrząc na ewolucję działań cyberprzestępców, możemy być jednak pewni, że będziemy słyszeć o podobnych incydentach coraz częściej. Dla firm oznacza to jedno – najwyższy czas przyjrzeć się zabezpieczeniom swoich sieci technologicznych.