Na jakie cyberataki narażone są systemy przemysłowe?

Przeczytaj także: Kaspersky: biurokracja osłabia cyberbezpieczeństwo przemysłu

Atak wirusa Stuxnet odbił się bardzo szerokim echem. I nie ma w tym nic zaskakującego, skoro szkodnikowi udało się w znacznym stopniu zakłócić pracę wirówek wzbogacających uran w Iranie. To wydarzenie było też swoistego rodzaju zimnym prysznicem dla decydentów IT na całym świecie, ponieważ pokazało, że cyberprzestępcy są w stanie skutecznie nadszarpnąć bezpieczeństwo przemysłowych systemów sterujących SCADA. W tym konkretnym przypadku chodziło o odpowiedzialne za automatyzację procesów elektromechanicznych, programowalne sterowniki logiczne (PLC).

Kod wirusa Stuxnet okazał się wyjątkowo skomplikowanym, a jego rozmiar, przekraczający 500 kilobajtów, czynił go unikatem wśród złośliwych narzędzi. Szkodnik przedostawał się do urządzeń fizycznych i systemu Windows, a następnie kilkukrotnie replikował tak, aby znaleźć oprogramowanie, które miało stanowić jego cel.

Od czasu odkrycia Stuxnetu na całym świecie miało miejsce wiele innych przypadków cyberataków wymierzonych w systemy technologii operacyjnych. Według raportu Fortinet o stanie bezpieczeństwa OT, aż 74% przedsiębiorstw doświadczyło w ciągu ostatnich 12 miesięcy naruszenia ochrony systemów przemysłowych.

Przegląd najważniejszych cyberataków na systemy przemysłowe

Obserwując najważniejsze cyberataki na systemy przemysłowe w ciągu ostatniej dekady, łatwo zauważyć, jak rozwinęły się umiejętności i możliwości techniczne cyberprzestępców. Znacznie bardziej niepokojąca jest jednak ich gotowość do wyrządzania szkód nie tylko w środowiskach cyfrowych, ale i w infrastrukturze fizycznej. Może mieć to wpływ na bezpieczeństwo publiczne oraz ludzkie zdrowie i życie.

Stuxnet jest jednym z pierwszych przykładów, które pokazały światu, jaki wpływ mogą mieć cyberataki na infrastrukturę fizyczną. Wzrost liczby nowych zagrożeń radykalnie zmienił sposób funkcjonowania przemysłowych systemów ICS/SCADA. Specjaliści z FortiGuard Labs przeanalizowali niektóre z najważniejszych cyberataków na systemy przemysłowe, które miały miejsce w ciągu ostatniej dekady.

2011: Duqu

Złośliwe oprogramowanie, odkryte przez węgierskich analityków, które pod względem struktury bardzo przypominało Stuxnet. Duqu został zaprojektowany w celu kradzieży informacji (tzw. infostealer) poprzez ukrycie transmisji danych w ruchu HTTP i przesyłanie złośliwych plików w formacie jpg. Odkrycie tego narzędzia unaoczniło jak w procesie cyberataku ważny jest etap rekonesansu, w trakcie którego złośliwy kod wykrada informacje. Bardzo często bowiem jest to pierwszy krok z zaplanowanej wcześniej serii kolejnych etapów cyberataku.

2013: Havex

Havex jest złośliwym oprogramowaniem typu Remote Access Trojan (RAT), które zostało odkryte w 2013 r. Stworzone przez grupę przestępczą znaną jako Grizzly Steppe, Havex atakował systemy kontroli przemysłowej (ICS) i komunikował się z serwerem nadzorującym pracę złośliwego kodu (Command&Control, C2), z którego dostarczane były kolejne moduły zawierające niebezpieczne narzędzia.

Kod tego narzędzia, specjalnie dostosowany do atakowania systemów ICS, gromadził dane przesyłane przez różne serwery z wykorzystaniem standardu otwartej platformy komunikacyjnej (Open Platform Communication, OPC), w tym takie informacje jak identyfikator klas CLSID, nazwę serwera, identyfikator programu, wersję OPC, informacje o producencie atakowanej platformy, stan pracy, liczbę grup i przepustowość serwera, a także był w stanie wyliczyć znaczniki OPC. Komunikując się z infrastrukturą C2, Havex otrzymywał instrukcje, które dawały możliwości nieznane dotąd złośliwemu oprogramowaniu.

2015: BlackEnergy

Odkryte w 2015 r. oprogramowanie BlackEnergy wykorzystywało makra w dokumentach Microsoft Excel. Złośliwe narzędzie dostawało się do sieci za pośrednictwem wiadomości e-mail typu spear-phishing, wysyłanych do konkretnych, starannie wybranych jako cel, pracowników. Kampania ta udowodniła, że cyberprzestępcy mogą manipulować infrastrukturą krytyczną na dużą skalę.

2017: TRITON

Złośliwe oprogramowanie, które jest ukierunkowane szczególnie na systemy zapewniające ochronę rozwiązań przemysłowych (Safety Instrumented System, SIS). Triton modyfikuje oprogramowanie układowe w pamięci, aby dodać do niego złośliwe funkcje. Pozwalało to przestępcom odczytać lub zmodyfikować zawartość pamięci i zaimplementować niestandardowy kod wraz z dodatkowymi instrukcjami, które miały na celu wyłączenie, spowolnienie pracy lub zmodyfikowanie rozwiązań umożliwiających bezpieczne wstrzymanie pracy procesu przemysłowego. Triton to pierwsze znane złośliwe oprogramowanie zaprojektowane specjalnie do atakowania systemów bezpieczeństwa przemysłowego, chroniących ludzkie życie.

W 2020 roku konieczna szeroka świadomość ryzyka

Bezpieczeństwo systemów ICS/SCADA powinno być traktowane priorytetowo ze względu na możliwe konsekwencje takiego ataku. Bardzo ważne również jest, aby reguły polityki bezpieczeństwa w przedsiębiorstwach były zgodne z obowiązującymi przepisami prawa.

Ryzyko związane z systemami przemysłowymi jest coraz szerzej znane i coraz bardziej priorytetowo traktowane. Istnieją instytucje rządowe, jak ICS-CERT w USA czy Centrum Ochrony Infrastruktury Narodowej (CPNI) w Wielkiej Brytanii, które publikują porady i wytyczne dotyczące najlepszych praktyk w zakresie bezpieczeństwa systemów ICS.

Odpowiednie normy zostały również opracowane przez Międzynarodowe Towarzystwo Automatyki (ISA). Natomiast organizacja non-profit ICS-ISAC podejmuje działania edukacyjne dotyczące świadomości zagrożeń i najlepszych praktyk, aby pomóc obiektom rozwijać świadomość dotyczącą sytuacji, w których może być zagrożone bezpieczeństwo lokalne, narodowe i międzynarodowe.