Cyberbezpieczeństwo i kontrola dostępu

Ostrzeżenia przed cyberatakami na systemy sterowania i automatyki były ogłaszane już dawno. Podejmowano również ich pojedyncze próby (patrz: ramka). Dopiero jednak w 2010 roku nastąpił w tym zakresie prawdziwy przełom.

Wykryty wtedy Stuxnet był pierwszym publicznie znanym robakiem, który stworzono specjalnie w celu zainfekowania i zdestabilizowania systemów sterowania w przemyśle. Zaatakował on tysiące komputerów na całym świecie, czym wzbudził sporą sensację, stając się też źródłem teorii spiskowych na temat jego twórców i przeznaczenia.

Robak wywołał także ogromne poruszenie wśród osób, które odpowiadały za bezpieczeństwo systemów informatycznych w przemyśle. Okazało się bowiem, że dotychczasowe zabezpieczenia są niewystarczające, przez co komputery mogą stać się najsłabszym ogniwem oraz furtką do ataków z zewnątrz, nawet w przypadku wyspecjalizowanych i drogich systemów automatyki. Przerażało też to, że nim Stuxneta udało się zidentyfikować, działał on w ukryciu być może nawet przez ponad rok.

JAK ATAKOWAŁ STUXNET?

Stuxnet atakował prawdopodobnie za pośrednictwem pamięci USB. Dzięki temu mógł infekować także komputery obsługujące główny system sterowania zakładem, które właśnie ze względów bezpieczeństwa zwykle nie są podłączane do Internetu. Wykorzystując wcześniej nieznane luki bezpieczeństwa w systemie Windows (zero day exploits) rozprzestrzeniał się po sieci lokalnej, instalując m.in. sterowniki o nazwach mrxnet.sys i mrxcls.sys.

Pliki te nie były identyfikowane przez system jako potencjalnie złośliwe oprogramowanie, ponieważ miały certyfikat bezpieczeństwa podpisany prawdziwymi cyfrowymi kluczami prywatnymi wykradzionymi z firm Realtek oraz JMicron. Jeżeli robak na zainfekowanym komputerze nie wykrył instalacji systemu SCADA WinCC lub oprogramowania Step 7, nie robił zupełnie nic.

W przeciwnym wypadku Stuxnet m.in. zmieniał nazwę pliku s7otbxdx. dll, znajdującego się w katalogu zawierającym pliki używane w realizacji komunikacji pomiędzy Simatic Managerem a sterownikami S7, na s7otbxdsx.dll. Potem w folderze tym umieszczany był fałszywy plik s7otbxdx. dll, dzięki któremu robak mógł wprowadzać złośliwy kod do sterowników programowalnych.

JAKIE SZKODY MÓGŁ SPOWODOWAĆ STUXNET?

Celem działania robaka były głównie sterowniki z serii S7-417 i projekty określonego typu. Selektywność uznano za cechę wyróżniającą Stuxnet. Przeprogramowanie sterowników uniemożliwiało właściwe sterowanie przebiegiem procesów przemysłowych, prowadząc do ich rozregulowania. Jednocześnie zmiany w kodzie były ukrywane przed operatorami systemu. Nie można było ich też cofnąć ani nadpisać.

W efekcie mimo całkowitej utraty kontroli obsługa nie była w stanie nic zauważyć ani też na czas interweniować. Z zainfekowanego komputera wirus próbował również przesyłać dane na zewnętrzny serwer, a także pobierać stamtąd aktualizacje i rozkazy. Oprócz możliwości sabotażu pracy zakładu Stuxnet mógł być zatem wykorzystywany w działalności szpiegowskiej.

Przypuszcza się, że twórcami Stuxnetu byli specjaliści wspierani przez rządy Stanów Zjednoczonych i Izraela, a ich celem była elektrownia jądrowa w Iranie. Prawdopodobnie jednak ofiarą tego robaka padły również inne zakłady, m.in. elektrownia nuklearna w Rosji.

Gdy Stuxnet nie stanowił już zagrożenia, spodziewano się, że rozwiązania w nim wykorzystane mogą stanowić inspirację i bazę dla innych wirusów tego rodzaju. Było to tym bardziej prawdopodobne, że oprogramowanie firmy Microsoft jest powszechnie używane w przemyśle.

Przed Stuxnetem...

Ostrzeżenia przed cyberatakami na przemysłowe systemy sterowania, a nawet ich pojedyncze próby, ogłaszano i podejmowano już od dawna, jeszcze przed odkryciem Stuxnetu. Takimi były m.in.:

Elektrownia jądrowa Ignalina, Litwa, 1992
Jeden z pracowników litewskiej elektrowni jądrowej celowo wprowadził wirusa do systemu sterowania jednego z dwóch reaktorów działających w tym zakładzie. Chociaż twierdził, że dokonał tego tylko po to, żeby dowieść słabości stosowanych zabezpieczeń, został aresztowany. Na szczęście złośliwe oprogramowanie nie spowodowało żadnych szkód.

Maroochy Shire, Australia, 2000
Ataku dokonał sfrustrowany były pracownik firmy, która instalowała system SCADA do nadzorowania pracy miejskiego systemu wodno-kanalizacyjnego w pewnym mieście niedaleko Brisbane. Zdecydował się on na ten krok, kiedy nie został zatrudniony w miejskiej spółce po tym, jak już złożył rezygnację z pracy w tym prywatnym przedsiębiorstwie. Aby się zemścić, przy użyciu skradzionego sprzętu radiowego oraz komputera, sparaliżował pracę systemu kanalizacji.

Dokonał tego, jeżdżąc po okolicy i przesyłając błędne komendy sterujące. Dzięki temu m.in. spowodował, że pompy nie pracowały właściwie, a do centralnego komputera nie docierały sygnały alarmowe. W wyniku jego działań kilkaset tysięcy litrów surowych (nieoczyszczonych) ścieków rozlało się w różnych miejscach, w tym w parkach, na placach i do rzek. Za swój czyn pracownik ten został skazany na więzienie i musiał pokryć koszty usuwania ścieków.

Elektrownia jądrowa Davis-Besse, USA, 2003
Jedną z amerykańskich elektrowni jądrowych zainfekowano wirusem SQL Slammer. Rozprzestrzeniał się on bardzo szybko za pośrednictwem Internetu, zarażając kolejne komputery, na których zainstalowany był program Microsoft SQL 2000. Robak najpierw zaatakował sieć firmy współpracującej z przedsiębiorstwem, które zarządzało tą elektrownią.

Następnie zainfekował sieć zakładową tego ostatniego. Ta z kolei była połączona, bez firewalla, z systemem SCADA elektrowni. Po wniknięciu tam SQL Slammer wygenerował ruch sieciowy o tak dużym natężeniu, że zablokował system, który zbierał dane m.in. z instalacji chłodzenia reaktora, czujników temperatury oraz mierników promieniowania. Był on niedostępny przez kilka godzin. Szczęśliwie podczas tych problemów reaktor był wyłączony.

CO BYŁO KOLEJNE?

Zdaniem ekspertów nie należało się też sugerować tym, że atak za pomocą Stuxnetu został wymierzony w produkty konkretnego producenta, w tym wypadku sterowniki i oprogramowanie Siemensa. Naśladowcy twórców tego wirusa za cel mogli równie dobrze przyjąć rozwiązania oferowane przez innych producentów podzespołów systemów sterowania. Jeżeli dodatkowo mutacje Stuxnetu byłyby jeszcze bardziej wyrafinowane, mogłyby wyrządzić dużo więcej szkody niż ich pierwowzór.

Jak się okazało, nie pomylono się. Wkrótce poważnym zagrożeniem dla cyberbezpieczeństwa systemów przemysłowych stał się robak Duqu. To złośliwe oprogramowanie wykryto w 2011 roku (patrz: ramka).

Pod względem struktury i koncepcji Duqu był podobny do Stuxneta - fragmenty kodu źródłowego obydwu były nawet identyczne. Nie można było jednak stwierdzić, czy twórcy Duqu byli autorami Stuxnetu, czy tylko mieli dostęp do jego kodu. Pewne było natomiast to, że nowy robak miał zupełnie inny cel niż jego poprzednik.

Zdaniem ekspertów Duqu był nakierowany głównie na pozyskiwanie danych, przede wszystkim dokumentacji projektowej, od dostawców komponentów systemów automatyki przemysłowej. Informacje w ten sposób zebrane mogły w przyszłości umożliwić cyberataki podobne do tego przeprowadzonego przy użyciu Stuxnetu. Przypuszcza się, że Duqu został m.in. użyty w 2011 roku w ataku na irańskie elektrownie jądrowe.

...po Stuxnecie

Upowszechnienie się informacji o cyberzagrożeniach czyhających na systemy przemysłowe, o których więcej zaczęto mówić po "sukcesie" Stuxnetu, bynajmniej nie onieśmieliło przestępców. Podejmowali i w dalszym ciągu podejmują oni próby przejęcia kontroli nad zakładami przemysłowymi. Dalej przedstawiamy przykłady cyberincydentów, do których doszło po 2010 roku:

Bowman Avenue Dam, USA, 2013
Irańscy hakerzy włamali się do komputera zarządzającego pracą małej zapory, która chroni przed zalaniem niewielką miejscowość pod Nowym Jorkiem. Przestępcom udało się uzyskać zdalny dostęp do tej instalacji. Na szczęście stało się to wówczas, kiedy na czas konserwacji została ona wyłączona. Dzięki temu atak nie wyrządził żadnych szkód. Uwidocznił on jednak zagrożenie, które w przypadku dużych zapór jest proporcjonalnie większe.

Korea Hydro and Nuclear Power, Korea Południowa, 2014
Włamano się do sieci zakładowej firmy, która zarządzała elektrowniami nuklearnymi w Korei Południowej. Ataku tego dokonano, wysyłając jej pracownikom e-maile z linkami. Po kliknięciu na te łącza automatycznie pobierane było złośliwe oprogramowanie. Za jego pośrednictwem przestępcy pozyskali poufne dane, m.in. plany i dokumentację techniczną dwóch reaktorów, dane pracowników i informacje o wpływie promieniowania z reaktorów na okolicznych mieszkańców.

Część tych danych hakerzy udostępnili w Internecie. Oprócz tego przestępcy próbowali szantażować zaatakowaną firmę. Najpierw żądali wyłączenia reaktorów pod groźbą ich zniszczenia, a potem domagali się pieniędzy za niepublikowanie lub nieodsprzedanie reszty nielegalnie pozyskanych informacji. Zarządzający elektrowniami nie ulegli tym żądaniom. W zamian publicznie oskarżyli o dokonanie ataku Koreę Północną, która jednak temu zaprzeczyła.

Dostawcy energii, Ukraina, 2015
Hakerzy spowodowali awarię sieci energetycznej, która dotknęła ponad 200 tys. mieszkańców Ukrainy. Przebieg ataku nie jest jeszcze dokładnie znany. Przypuszcza się jednak, że za pośrednictwem specjalnie przygotowanych e-maili z załącznikami przestępcom udało się zainfekować sieć zakładów energetycznych złośliwym oprogramowaniem, prawdopodobnie trojanem Black Energy. Następnie wykradli poufne dane i przejęli zdalną kontrolę nad wyposażeniem elektrowni, powodując przerwy w dostawach prądu. Dodatkowo zablokowali infolinie, by uniemożliwić klientom zgłaszanie awarii.