Blog

Blogs

Bezpieczeństwo systemów SCADA

Systemy SCADA są obecne w różnych gałęziach przemysłu. Ich zadaniem jest sterowanie turbinami w elektrowniach, właściwy transport ropy i gazu w sieciach przesyłowych. Z kolei na lotniskach są wykorzystywane do funkcjonowania  wykrywaczy metalu, zaś w fabrykach służą do monitorowania procesu wentylacji czy zużycia energii elektrycznej. Atak cybernetyczny na system tego typu może wywołać katastrofalne skutki w postaci uszkodzenia instalacji przemysłowych lub nawet zaprzestania prowadzenia działalności przez dane przedsiębiorstwo.

Sieci typu SCADA egzystują od wielu lat i w związku z tym nie były projektowane tak, jak dzisiejsze sieci komputerowe, które uwzględniają możliwości ataków hakerskich. W 2015 roku wielu producentów oprogramowania typu Firewall podniosło temat ochrony SCADA, polegającej na odizolowaniu sieci przemysłowej od sieci produkcyjnej. Ze względu na sam charakter sieci przemysłowych oraz to, że są one w użyciu już od wielu lat, nowe systemy obrony bardzo często nie wspierają starszych interfejsów szeregowych, takich, jak RS232 i innych.

Z drugiej strony istnieje wiele źródeł ataków na systemy SCADA, które nie wykorzystują styku sieci komputerowej z przemysłową. Banalnym przykładem, który można przytoczyć na potwierdzenie tego faktu jest np. zainfekowanie komputera serwisanta, który zostaje podłączony bezpośrednio do komputera sterującego urządzenia przemysłowego. Innym ewentualnym atakiem może być zamiana oprogramowania urządzeń przemysłowych, co umożliwi sprawcom ataku przejęcie pełnej kontroli nad nimi. Może do tego dojść np. przez atak na witrynę internetową producenta tych urządzeń.

 

Spektakularny cyber-atak

 

Atak na instalację zakładów jądrowych w Iranie w 2009/2010 r. jest jednym z pierwszych spektakularnych i udokumentowanych zdarzeń cybernetycznych dotyczących infrastruktury krytycznej. Doszło do niego w jednym z kluczowych irańskich laboratoriów badań jądrowych. Ofiarą cyberataku padło od 1000 do 3000 wirówek używanych do wzbogacania uranu, a do ataku hakerskiego użyto zmodyfikowaną wersję wirusa Stuxnet. Stuxnet wykorzystuje cztery błędy typu „zero day” w systemach operacyjnych Microsoftu, używa dwóch certyfikatów cyfrowych do instalowania się w systemie, bez zwracania na siebie uwagi oraz potrafi przeprogramowywać produkowane przez firmę Siemens sterowniki PLC, których Iran używa w swoich instalacjach atomowych.

 

O wyjątkowości Stuxneta decyduje sposób, w jaki powstał i działał. Samo wykrycie czterech podatności typu „zero day”, czyli takich, których producenci programów jeszcze nie zdążyli „załatać“ (dwie pozwalające uzyskać prawa administratora, dwie umożliwiające replikację wirusa), wymaga albo długotrwałej i mozolnej pracy, albo wydania znacznych sum pieniędzy. Wprowadzenie Stuxneta do środowiska informatycznego elektrowni w Iranie nie nastręczyło autorom cyberataku większych problemów: wykorzystali oni do tego najprawdopodobniej jednego z poddostawców lub naukowca, który zakaził system, podłączając do niego nośnik USB. Następnie wirus rozprzestrzenił się w elektrowni, aż trafił do komputera, na którym zainstalowane było oprogramowanie Siemens SIMATIC Step 7 lub WinCC. Wtedy uruchomił swoją podstawową funkcjonalność, która doprowadziła do uszkodzenia funkcjonujących w elektrowni wirówek. Sam proces infekcji i rozprzestrzeniania się dzielił się na kilka etapów.

 

Najpierw wirus sprawdzał, czy ma do czynienia z 32-bitową wersją systemu (64-bitowe nie były infekowane), potem weryfikował, jakiego rodzaju oprogramowanie antywirusowe jest zainstalowane na stacji i odpowiednio dobierał metodę uzyskania praw administratora przy wykorzystaniu właściwej podatności. Po uzyskaniu praw administratora Stuxnet wyodrębniał i uruchamiał ze swojego pliku, w zależności od wyników analizy konfiguracji zainfekowanej stacji, moduły odpowiedzialne za instalację:

 

  • głównego procesu wirusa w systemie,
  • rootkita w celu ukrywania swojej obecności,
  • serwera RPC do komunikacji pomiędzy zainfekowanymi,
  • hostami za pomocą mechanizmu P2P,
  • procesu komunikacji z centrum sterowania Comand & Control (C&C),
  • algorytmu sprawdzania łączności z siecią Internet,
  • mechanizmu replikacji poprzez LAN lub USB,
  • programu infekującego wirówki,
  • deinstalatora wirusa.

 

Twórcy wirusa przewidzieli, że docelowy komputer może nie być podłączony do sieci, stworzyli więc mechanizm porozumiewania się zainfekowanych hostów za pośrednictwem sieci LAN lub plików przenoszonych na zainfekowanych pamięciach USB. Wirus dzięki temu potrafił zbudować drzewo komunikacji z C&C poprzez pierwszy znaleziony komputer połączony z siecią publiczną. Potrafił też korzystać z proxy. W ten sposób mógł swobodnie pobierać aktualizacje, a także przyjmować dalsze hakerskie komendy.

 

 

Cyberatak na przedsiębiorstwo energetyczne

 

Innym przykładem jest mającym miejsce w 2015 r. atak cybernetyczny na ukraińskie przedsiębiorstwa energetyczne. Jego efektem była kilkugodzinna przerwa w dostawach prądu dla niemal miliona mieszkańców Ukrainy. Wspomniana przerwa była natomiast skutkiem działania zagrożeń typu BlackEnergy i KillDisk, które atakujący zainstalowali na komputerach pracowników jednego z lokalnych dostawców energii. Drugie z wymienionych zagrożeń, dodatkowo zmodyfikowano tak, by umożliwiło sabotowanie specjalistycznych systemów przemysłowych. Eksperci z jednej z ukraińskich firm zajmujących się cyber-bezpieczeństwem, dzięki danym z systemu wczesnego ostrzegania, który wykrywa infekcje najnowszymi typami zagrożeń na całym świecie, poinformowali, że w tym czasie również inne przedsiębiorstwa energetyczne na Ukrainie zostały zaatakowane przez cyberprzestępców.

 
 

Jak wyglądał atak? Najpierw pracownik firmy energetycznej otrzymał email, którego nadawca podszywał się pod przedstawiciela ukraińskiego parlamentu. Do wiadomości dodano załącznik w postaci dokumentu pakietu Office, który po otwarciu informował ofiarę, że do prawidłowego działania wymaga włączenia makr. Postępowanie zgodnie z zaleceniami maila poskutkowało zainfekowaniem komputera zagrożeniem BlackEnergy Lite. Wirus pobrał natomiast kolejne złośliwe oprogramowanie, wspomniany wcześniej KillDisk. W standardowej wersji zagrożenie to potrafi m.in. usunąć wszystkie dane z dysków twardych zaatakowanych komputerów.

 

W wersji wykrytej w ukraińskich firmach energetycznych zagrożenie KillDisk zostało wyposażone w zestaw nowych funkcji, m.in. możliwość opóźnienia swojego uruchomienia oraz nieodwracalną zmianę w plikach wykonywalnych specjalistycznych systemów przemysłowych, wykorzystywanych m.in. przez elektrownie. Szczegółowa analiza wykazała, że złośliwe oprogramowanie BlackEnergy zostało wykryte na komputerach pracowników kilku ukraińskich elektrowni już kilka miesięcy wcześniej. Wtedy jednak infekcja nie zakończyła się pobieraniem komponentu KillDisk.

 

Wcześniej, we wrześniu 2014 roku, eksperci informowali o zagrożeniu BlackEnergy, które zaatakowało wiele firm i instytucji zlokalizowanych w Polsce i na Ukrainie. Wtedy zagrożenie pozwalało atakującemu m.in. na kradzież plików z zainfekowanego komputera oraz zdalne uruchomienie dowolnego złośliwego kodu.

 

Wnioski

 

Podsumowując należy stwierdzić, że proste ataki na systemy SCADA wymagają wiedzy o wiele mniej tajemnej niż uszkodzenie wirówki, systemów sterujących elektrowni czy huty. Wystarczy bowiem oprzeć się na podatnościach biznesowych systemów operacyjnych i bazodanowych, powodując np. ich unieruchomienie. Uwzględniając czarny scenariusz można się spodziewać, że terroryści zrezygnują z podkładania bomb na pokłady samolotów, jeśli będą mogli zaatakować systemy informatyczne na lotnisku i tam spowodować katastrofę. Operację zablokowania dostaw gazu i elektryczności do miasta lub całego państwa będzie można przeprowadzić zdalnie z dowolnego miejsca na świecie, a wykrycie i ukaranie sprawców takich działań będzie praktycznie niemożliwe.

 

Aby minimalizować prawdopodobieństwo przeprowadzenia skutecznego ataku i nie stać się, choćby przypadkową, ofiarą cyber-wojny (a takie były przy okazji ataków Stuxnetem), potrzebna jest zmiana priorytetów oraz wdrożenie nowego podejścia do budowania systemów bezpieczeństwa w sieciach SCADA. Zaufanie do technologii zabezpieczeń zostało naruszone. Programy antywirusowe, zapory sieciowe nie są dziś gotowe na wykrywanie ataków realizowanych za pomocą podatności „zero day”. Opisywane wirusy, mimo wykrycia i opisania, nie przestały być niebezpieczne. Kiedy zajdzie taka potrzeba zostaną załadowane nowymi podatnościami i wystrzelone w kierunku nowego celu.

 

 

Organizacja Działów Bezpieczeństwa

 

Dodatkowym problemem jest fakt, że o ile w sieciach IT mamy zbudowane całe działy bezpieczeństwa, które monitorują zagrożenia i ewentualne incydenty przy pomocy narzędzi typu SIEM/SOC, to nie mają one z reguły kompetencji i zrozumienia problematyki sieci przemysłowych oraz ich skutecznej ochrony. Przeanalizujmy po krótce jak będzie działać rozpoznanie ewentualnego incydentu w sieci OT, nawet jeżeli zostanie on zarejestrowany w systemie SIEM.

 

Pracownik będzie najprawdopodobniej próbował skontaktować się z osobą dedykowaną z działu OT, aby zgłosić ewentualny problem. Są dwa rozwiązania – albo podniesienie kompetencji bezpieczeństwa w działach OT (w takim wypadku proponujemy rozważenie powołania Oficera bezpieczeństwa OT), albo zwiększenie kompetencji pracowników funkcjonujących już działów SOC. Zarówno w pierwszym, jak i drugim przypadku potrzebne będą jednak dodatkowe szkolenia podnoszące kompetencje w zakresie bezpieczeństwa ICS.

 

Nasze podejście

 

Oferowane przez nas rozwiązania z zakresu bezpieczeństwa systemów przemysłowych bazują na technologii wybranych producentów zapewniając pełną ochronę. Proponowana strategia bezpieczeństwa systemów ICS, uwzględnia m.in. takie aspekty jak: doświadczenie na rynku przemysłowym i możliwość adaptacji rozwiązań do potrzeb rynku polskiego i jego specyfiki.

More Blog Entries

thumbnail
thumbnail

Jak sztuczna inteligencja zmienia firmy?

Obecnie ilość gromadzonych i przetwarzanych informacji jest większa niż kiedykolwiek wcześniej. Fakt ten w pewien sposób rewolucjonizuje sposób działania organizacji. Firmy wykorzystują zaawansowaną analitykę, aby uzyskać przewagę konkurencyjną na swoich rynkach, nieustannie zmieniając modele biznesowe w miarę rozwoju technologii w tym obszarze. Przyjrzyjmy się, w jaki sposób oprogramowanie oparte na sztucznej inteligencji i machine learningu zmienia analitykę biznesową i czego możemy się spodziewać po AI w kontekście przyszłości.