Cyberatak na stacje energetyczne i odcięcie dostaw energii elektrycznej do 80 tys. odbiorców na Ukrainie

Z tego, co do tej pory zostało ujawnione, wydaje się, że napastnicy użyli co najmniej jednego rodzaju złośliwego oprogramowania (malware) do uszkodzenia serwerów sieci OT (sieci sterowania przemysłowego) i wykazali możliwość jego rozprzestrzeniania wewnątrz zaatakowanej sieci.

Najbardziej prawdopodobne jest, że w celu uruchomienia ataku, sprawcy byli włączeni online w sieć OT atakowanego przedsiębiorstwa. Pozwoliło im to wybrać dokładny czas do wykonania sekwencji działań, które finalnie spowodowały przerwy w zasilaniu.

PENETRACJA SIECI

Przeprowadzenie jednoczesnego ataku na kilka regionalnych energetycznych firm dystrybucyjnych było dokładnie skoordynowane, aby zwiększyć prawdopodobieństwo osiągnięcia przez atakujących zamierzonego celu. Raporty w mediach wskazują konkretnych dostawców energii, którzy zostali zaatakowani, w tym Prykarpattyaoblenergo i Kyivoblenergo.

Dokładne kalendarium ataku i sekwencja zdarzeń są nadal niejasne i jeszcze analizowane. Kyivoblenergo upublicznił klientom informację, która mówi, że w wyniku ataku doszło do odłączenia siedmiu podstacji 110 kV i dwudziestu trzech podstacji 35 kV, co wywołało zanik zasilania, który dotknął 80 tys. odbiorców energii.

Wydaje się, że główny składnik malware’u został osadzony w oprogramowaniu urządzeń HMI (Human - Machine Interface, np. systemy typu SCADA) wykorzystywanych przez przedsiębiorstwa energetyczne. Gdy operatorzy aktualizowali ich oprogramowanie, zostały pobrane zainfekowane pliki, które zawierały złośliwe oprogramowanie pochodzące od atakującego. Kiedy malware został już pobrany, napastnicy uzyskali trwały dostęp do sieci atakowanych przedsiębiorstw.

WEWNĄTRZ SIECI OT

Po infiltracji sieci poprzez urządzenia HMI, program atakujący zaczął rozprzestrzeniać się w sieci, gdzie celem były serwery odpowiedzialne za kontrolę urządzeń stacyjnych i raportujące ich stan. Pozwoliło to atakującym - aż do zakończenia fazy realizacji ataku - na ukrycie dokładnego stanu sieci dystrybucyjnej oraz na usunięcie danych, które mogłyby posłużyć jako dowody sądowe.

Obydwa działania wydłużyły czas jaki zajęła spółkom dystrybucyjnym reakcja na cyberatak. Co więcej, nawet teraz skutki tych działań wciąż utrudniają badaczom dokładne odtworzenie przebiegu ataku.

REALIZACJA ATAKU

Fot. 1. Router RadiFlow 3180

Przeprowadzone analizy i zebrane dowody wskazują, że podczas ataku napastnicy wykonywali działania bezpośrednio z zaatakowanej sieci, prawdopodobnie za pośrednictwem portu zdalnego dostępu. Wiadomo, że atakujący użyli zmodyfikowanej wersji oprogramowania zdalnego dostępu, które zostało zainstalowane wcześniej w sieci atakowanej firmy. Będąc w sieci, atakujący byli w stanie wysłać odpowiednie polecenia do stacyjnych urządzeń wykonawczych i - koordynując te działania - wywołać zamierzone skutki.

Analiza ataku ujawnia, że z awarią było związane złośliwe oprogramowanie składające się z co najmniej dwóch elementów. Pierwszy z nich - KillDisk był prawdopodobnie użyty do usunięcia niektórych danych z serwerów. Ten program prawdopodobnie nie spowodował bezpośrednio odcięcia dopływu energii.

Działania atakujących brały pod uwagę czas, miejsce i oddziaływanie skutków awarii, co nie jest typowym motywem użycia programu KillDisk. Najprawdopodobniej celem KillDisk było usunięcie z serwerów potencjalnych danych dowodowych i opóźnienie przywracania usług przez usuwanie danych z serwerów SCADA po tym, jak awaria już została spowodowana.

Inny szkodliwy program wykorzystany przez atakujących jest związany z cyberatakami BlackEnergy. Szkodnik ten został użyty, aby pobrać i aktywować oprogramowanie KillDisk. Możliwe jest, że szkodnik BlackEnergy również był wykorzystywany do zbierania informacji podczas penetracji sieci lub do bezpośredniego wykonania ataku.

Kolejnym oprogramowaniem, które stosowali atakujący jest backdoor SSH. Prawdopodobnie był użyty do komunikowania się pomiędzy innymi serwerami i urządzeniami wewnątrz sieci a serwerami atakujących, podczas gdy były one podłączone do zaatakowanej sieci.

Podczas trwania blackoutu, czyli "właściwej" fazy odcięcia energii, atakujący przeprowadzili dodatkowy atak Denial of View, który odciął dyspozytorów systemu od możliwości podglądu stanu urządzeń i spowodował przeciążenie call center w centrum obsługi klienta. Skutkiem tego call center nie przyjmowało rozmów z klientami dzwoniącymi po pomoc lub informację podczas przerwy w dostawach energii.

WNIOSKI

Sprawa ukraińskiego blackoutu rzuca światło na kilka zagadnień dotyczących cyberataków na przemysłowe systemy SCADA:

1. Osiągnięcie tak znaczącego efektu ataku wymagało dobrej koordynacji. Aby spowodować odcięcie dostaw energii w tak dużym rozmiarze, hakerzy musieli przedostać się do kilku sieci i to w różnych organizacjach. Ponadto musieli koordynować wydawanie poleceń do stacyjnych urządzeń wykonawczych.
2. Firmy najsłabiej chronione są najbardziej podatne na atak. Istnieje wiele sposobów, by spowodować przestój w dostawach energii, a zakładając, że celem atakujących było po prostu spowodowanie odczuwalnej na szeroką skalę przerwy w dostawach energii na Ukrainie, to zgodnie z logiką powinni oni atakować cele najbardziej narażone i najsłabiej chronione. Faktycznie stwierdzono, że podobne złośliwe działania były prowadzone także wobec innych ukraińskich firm, ale były one lepiej zabezpieczone i na czas udało im się zmniejszyć narażenie i nie dopuścić do ataku.
3. Stosowanie łańcuchów dostaw jako wektorów ataku: wydaje się, że napastnicy manipulowali plikami urządzeń HMI. Gdy operator urządzenia pobierał plik aktualizacji oprogramowania urządzenia HMI ze strony internetowej dostawcy, mógł pobrać plik zainfekowany szkodliwym oprogramowaniem.
4. Ukrywanie uszkodzeń: atakujący zazwyczaj próbują ukryć uszkodzenia. Powody tego działania wpisują się również w przypadek ukraiński: wydłużenie czasu osłabienia ochrony podmiotu atakowanego i komplikacja prac analityczno-badawczych po ataku.
5. Duża skala anomalii zachowania się sieci: jak podano, napastnicy wykazali zdolność do przemieszczania się w sieci pomiędzy podstacjami energetycznymi, wysyłania polecenia do urządzeń stacyjnych, zmiany konfiguracji serwerów i otwarcia kanału komunikacyjnego z zewnątrz sieci. Mechanizmy bezpieczeństwa, takie jak zapory SCADA DPI lub systemy SCADA IDS, mogłyby wykryć niektóre z działań w tym łańcuchu zdarzeń.
6. Zapobieganie cyberatakom na systemy SCADA jest naprawdę możliwe! Gdy atakowane firmy dowiadywały się o prowadzeniu wobec nich szkodliwych działań, inicjowano wewnętrzne scenariusze działań osłabiających atak. Koncentrowały się one głównie na przejściu do ręcznego sterowania w podstacjach. Krok ten okazał się skuteczny, ale niestety za późno - podejmowany był dopiero po wykryciu ataku, gdy odcięcie dostaw energii już miało miejsce. Gdyby atak został wykryty w jego pierwszej fazie, dałoby to większe szanse na zapobieganie przestojom. Wczesne rozpoznanie jest więc kluczem do całkowitego udaremnienia ataków cybernetycznych. Atakujący potrzebuje relatywnie dużo czasu do przygotowania i przeprowadzenia ataku, co stwarza znaczące i zauważalne zaburzenia w zachowania się sieci.

Ukraińskiemu blackoutowi można było zapobiec i to w wielu punktach położonych wzdłuż całego łańcucha zdarzeń składających się na strukturę ataku (tzw. Kill-Chain). W fazie penetracji sieci skuteczna segregacja sieci OT pozwoliłaby na wykrycie prób przenikania do sieci przez osoby atakujące. Ten rodzaj wewnętrznej segregacji sieci informatycznej przedsiębiorstwa był już wcześniej (w sierpniu 2014) sugerowany przez ICS-CERT.

Wszystko, co było w tym celu wymagane, to implementacja firewalla rozdzielającego lokalizacje (stacje energetyczne). Radiflow Secure Gateway 3180 został zaprojektowany właśnie do tego celu. Dzięki szerokim możliwościom VPN i uwierzytelniania, a także natywnemu Deep Packet Inspection(DPI), ten przemysłowy firewall jest najodpowiedniejszym środkiem do skutecznej segregacji sieci.

Ponadto, gateway ten jest zdolny do samodzielnego uczenia się zasad DPI, co pomaga w łatwym wdrożeniu wielu urządzeń Secure Gateway przy minimalnym nakładzie pracy na konfigurację. Dowodzi to, że podczas segregacji sieci taki firewall jest niezwykle ważnym środkiem, gdyż umożliwia wykrywanie i zapobieganie kolejnym fazom ataku. W przypadku blackoutu na Ukrainie, nawet bez takich urządzeń, ukraińscy operatorzy nadal mieli możliwość wykrycia ataku.

W obszarze ruchu poprzecznego, Radiflow Industrial IDS zapewnia najwyższy poziom ochrony. Korzystając z Network Visibility Package, ukraińscy operatorzy sieci byliby w stanie zobaczyć, że hakerzy otworzyli połączenia SSH pomiędzy różnymi stacjami w sieci. Ponadto, można by wykryć kanał komunikacji z serwerami sterowania należącymi do atakujących.

Innym ważnym pakietem oprogramowania zawartym w IDS Radiflow jest pakiet Cyber Attack - silnik oparty na algorytmie detekcji sygnatur malware pozwalający na wykrywanie znanego złośliwego oprogramowania komunikującego się wewnątrz sieci. Wiadome jest, że na Ukrainie napastnicy wykorzystali malware BlackEnergy, jak również znane SSH-Backdoory.

Obydwa malwarey mają znane sygnatury i mogły zostać łatwo wykryte. Wreszcie, w fazie ataku, operatorzy sieci mogli widzieli dokładnie polecenia wysłane przez atakujących. W następstwie cyberataku na Ukrainie powstał duży problem w zebraniu dowodów ze względu na brak danych.

Korzystając z Radiflow Industrial IDS, operatorzy mogli przeanalizować ruch, który spowodował awarię i śledzić wszystkie działania atakujących. Byłby to dokonały materiał kryminalistyczny, zaś etap łagodzenia skutków ataku byłby znacznie łatwiejszy i krótszy.

Yehonatan Kfir
CTO w RadiFlow
Jacek Leszczuk
inżynier marketingu technicznego
Tekniska Polska
www.tekniska.com.pl