6 cyber ataków na sieci ICS

Sieć OT dostaje rykoszetem czy jest coraz modniejszym celem ataków?

Od czasów pokaźnej encyklopedii wirusów komputerowych w kultowych programach antywirusowych z epoki systemu MS-DOS ewolucja zagrożeń w sposób oczywisty zmieniła kierunek. W ostatnich kilkunastu latach rozmaite wirusy i trojany ustąpiły miejsca przede wszystkim phishingowi i ransomware, a zamiast komputera przeciętnego internauty celem zaczęły stawać się też urządzenia sieciowe i komponenty serwerowe w przedsiębiorstwach i korporacjach. Poza motywem finansowym, ataki cybernetyczne – przybierające nieraz formę APT (ang. Advanced Persisten Threat) bywają inicjowane przez „hacktywistów” lub grupy o prawdopodobnych powiązaniach geopolitycznych, gdzie wstrzymanie działania jakiegoś przedsiębiorstwa lub infrastruktury krytycznej będzie miało strategiczne znaczenie w relacji politycznej lub gospodarczej między dwoma krajami. W tym krajobrazie powoli rośnie więc nieubłaganie nowa nisza – ataki na sieci przemysłowe. Coraz trudniej dziś wyobrazić sobie infrastrukturę OT odciętą od Internetu w każdym możliwym punkcie – korzyści z połączenia IT i OT, jak choćby zdalne monitorowanie i automatyzacja działań utrzymaniowych w obszarze OT niosą wymierne korzyści, także finansowe. Trzeba jednak pamiętać wtedy o drugiej stronie medalu. Zapraszamy więc do zapoznania się z kilkoma najpopularniejszymi, a jednocześnie jedynymi jawnymi dotąd dla szerokiej publiczności przykładami złośliwego oprogramowania ukierunkowanego na sieci OT. Wiedza o tych atakach może wspomóc analizę ryzyka we własnej infrastrukturze. Warto przy tym pamiętać, że złośliwe oprogramowanie wycelowane w infrastrukturę krytyczną nie jest jedyną możliwą przyczyną awarii lub przestojów w przemyśle (są też przykłady klasycznych ataków gdzie ofiarami były lub miały być firmy z sektora przemysłu lub infrastruktury krytyczne; patrz WannaCry/NotPetya, LockerGoga, ransomware w Colonial Pipeline, zdalny dostęp byłego pracownika Post Rock Water District).

1
Stuxnet
Rok wykrycia: 2010
Twórca: Equation Group (prawdopodobnie: USA/NSA/TAO, Izrael/IDF/Unit 8200)
Motyw: geopolityka
Rodzaj ataku: robak, APT
Punkt wejścia i kierunek ataku: Zainfekowane nośniki danych, MS Windows, Siemens WinCC/PCS 7/STEP7 (SCADA), PLC firmy Siemens (np. Simatic S7-300) z konkretnymi VFD (Vacon lub Fararo Paya) pracującymi w konkretnym zakresie częstotliwości (807 – 1210 Hz)
Rodzaj działania: szpiegostwo przemysłowe, zaburzanie pracy przemienników częstotliwości w wirówkach do wzbogacania uranu skutkujące zniszczeniem aluminiowych probówek wirówkowych
Cechy charakterystyczne: złośliwe oprogramowanie wycelowane konkretnie w ośrodek wzbogacania uranu w Natanz (Iran); bardzo duża złożoność kodu i wysublimowane kryteria ataku PLC, wymagające ogromnych nakładów specjalistycznej wiedzy i pracy sztabu ludzi, co wg specjalistów jest możliwe jedynie przy zaangażowaniu służb państwowych
Znane ofiary: Organizacja Energii Atomowej Iranu
Skutki ataku: zniszczenie do 1000 wirówek (10%) na terenie Iranu, odwetowe cyberataki w kierunku amerykańskich banków

2
BlackEnergy
Rok wykrycia: 2007
Twórca: Sandworm (Rosja)
Motyw: nieokreślony
Rodzaj ataku: Botnet, DDoS
Punkt wejścia i kierunek ataku: Phishing/spear-phishing, złośliwe załączniki Word/PowerPoint
Rodzaj działania: m.in. DDoS, keylogging, przechwytywanie haseł, zrzuty ekranu, „zdalny pulpit”, skanowanie sieci, niszczenie zainfekowanego systemu
Cechy charakterystyczne: kilka wersji BlackEnergy z dodawanymi nowymi funkcjami w toku kilku lat rozwoju, bogaty toolkit
Znane ofiary: Infrastruktura energetyczna na Ukrainie (Prykarpattyaoblenergo, Chernivtsioblenergo, Kyivoblenergo)
Skutki ataku: atak obejmował wyłączanie podstacji elektroenergetycznych poprzez SCADA, wyłączanie lub niszczenie komponentów infrastruktury IP (np. modemów i systemów UPS), dystrybucję innego złośliwego oprogramowania do niszczenia danych na serwerach i stacjach roboczych, DDoS na call-center; głównym skutkiem było wyłączenie kilkudziesięciu podstacji (110 kV i 35 kV), blokując dostawę 73 MWh energii elektrycznej; ponad 200 tys. mieszkańców było odciętych od zasilania na kilka godzin

3
Havex
Rok wykrycia: 2013
Twórca: Energetic Bear (Rosja)
Motyw: szpiegostwo przemysłowe
Rodzaj ataku: trojan, APT
Punkt wejścia i kierunek ataku: Phishing/spear-phishing, złośliwe załączniki Word/PowerPoint, przekierowania z często odwiedzanych stron na ich odpowiedniki z malware lub – w przypadku podatnych stron producentów – podmiana oficjalnego oprogramowania na zawierające malware, słabe zabezpieczenia na styku IT/OT, protokół OPC
Rodzaj działania: zdalna kontrola, skanowanie sieci w poszukiwaniu urządzeń OT (m.in. Siemens i Rockwell Automation), przechwytywanie danych logowania, zrzuty ekranu, transfer plików
Cechy charakterystyczne: niemal setka wariantów złośliwego oprogramowania
Znane ofiary: MESA Imaging, eWON/Talk2M, MB Connect Line jako przykłady producentów, których strony zostały wzbogacone o złośliwe oprogramowanie Havex; ponad 2000 obiektów z terenu USA i Europy stało się celem kampanii szpiegowskich w wielu sektorach (początkowo w obronie i lotnictwie, następnie w energetyce, farmaceutyce i przemyśle paliwowym i in.)
Skutki ataku: trudne do określenia

4
Industroyer/Crashoverride
Rok wykrycia: 2016
Twórca: Electrum/Sandworm (Rosja)
Motyw: nieznany
Rodzaj ataku: backdoor, wiperware
Punkt wejścia i kierunek ataku: eksploatacja podatności w urządzeniach Siemens SIPROTEC/SIPROTEC 4, wyłączenie podstacji, likwidacja plików konfiguracyjnych na stacjach roboczych kontrolujących infrastrukturę i zniszczenie systemu operacyjnego
Rodzaj działania: zaburzanie pracy systemów ICS w podstacjach elektroenergetycznych; mapowanie infrastruktury w oparciu o szereg protokołów (OPC, IEC 61850, IEC 101, IEC 104), wykonywanie komend na osiągalnych urządzeniach sterujących, usuwanie wszystkich systemowych kluczy rejestru na zainfekowanych komputerach i nadpisywanie plików dla uszkodzenia zaatakowanego systemu i uniemożliwienia jego rozruchu, nadpisywanie plików konfiguracyjnych ICS na wszystkich lokalnych i zdalnych dyskach (konkretnie plików dot. ABB PCM600)
Cechy charakterystyczne: uniwersalność i modułowość; pierwszy znany malware ukierunkowany konkretnie na infrastrukturę energetyczną, wskazujący na dużą specjalizację twórcy w obszarze systemów ICS; drugi znany malware (po Stuxnet) zorientowany bezpośrednio na zaburzenie pracy systemów przemysłowych
Znane ofiary: Kijów, Ukraina
Skutki ataku: odcięcie 20% obszaru Kijowa od zasilania na godzinę (prawdopodobnie atak próbny)

5
TRITON
Rok wykrycia: 2017
Twórca: CNIIHM (Rosja) lub Helix Kitten/APT34 (Iran)
Motyw: nieznany
Rodzaj ataku: APT
Punkt wejścia i kierunek ataku: niedostateczna konfiguracja zapory, przejęcie kontroli nad maszyną kontrolera (Windows), podatność zero-day, zaburzanie pracy systemów bezpieczeństwa procesów przemysłowych (SIS)
Rodzaj działania: utrzymanie ciągłego dostępu atakującego do systemów Tricon 3008 (Schneider Electric) z konkretną wersją oprogramowania, z możliwością przeprogramowania systemu np. „uśpienia” mechanizmów bezpieczeństwa (pozwalających wychwycić m.in. ulatnianie się toksycznego i skrajnie łatwopalnego siarkowodoru)
Cechy charakterystyczne: bezkompromisowy atak wskazujący na cel wywołania poważnych fizycznych konsekwencji ataku z ryzykiem strat w ludziach; pierwszy znany atak na systemy SIS
Znane ofiary: rafineria Petro Rabigh (Arabia Saudyjska)
Skutki ataku: tryb awaryjny kilku kontrolerów podczas próby ich przeprogramowania przez atakujących (co z kolei pozwoliło wykryć atak – podejrzewa się, że funkcjonowanie intruzów mogło mieć swoje początki w roku 2014)

6
EKANS
Rok wykrycia: 2019/2020
Twórca: nieznany
Motyw: finansowy
Rodzaj ataku: ransomware
Punkt wejścia i kierunek ataku: phishing/spear-phishing celem przechwycenia poświadczeń logowania, względnie podatności w protokole RDP (nie zaobserwowano wykorzystania tej metody)
Rodzaj działania: szyfrowanie plików na zainfekowanej maszynie i dołączonych zasobach sieciowych, wyłączanie wybranych (kill list) procesów systemów bezpieczeństwa, baz danych (np. MS SQL Server), systemów backupu (np. IBM Tivoli) i systemów ICS (np. Proficy)
Cechy charakterystyczne: ransomware atak celowo obejmujący procesy ICS; „lista celów” uwzględniająca procesy systemowe oraz aplikacji bazodanowych lub przemysłowych wskazuje na inspirację/ewolucję od oprogramowania ransomware MegaCortex, wcześniej LockerGoga; EKANS jawi się jako „utwardzony” wariant MegaCortex
Znane ofiary: Fresenius Group, Honda, Enel Group; poszkodowane firmy z obszarów energetyki, architektury, służby zdrowia, transportu i produkcji
Skutki ataku: od znikomych (zakończonych na próbie wprowadzenia złośliwego oprogramowania) po faktyczne podjęcie zaprogramowanych działań skutkujących m.in. wstrzymaniem produkcji na dotkniętym obszarze

Podsumowując, warto pamiętać, że poza najprostszą drogą wejścia złośliwego oprogramowania do obszaru przemysłowego jest sieć IT lub stanowiska komputerowe w sieci OT. Analiza ryzyka i podjęte środki bezpieczeństwa powinny uwzględniać nie tylko ochronę systemów automatyki przemysłowej ale także urządzeń IT, gdyż na poziomie organizacyjnym udany atak na sam obszar IT również może skutkować koniecznością wstrzymania procesów przemysłowych.

demo scadvance

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Dziękujemy

Odezwiemy się w ciągu 1 dnia roboczego