Archiwalne

* Najciekawsze ataki hakerskie na systemy przemysłowe okiem analityka FortiGuard Labs

08.07.2015

Głośny atak amerykańskiego wirusa Stuxnet, który w 2010 roku zdestabilizował pracę wirówek wzbogacających uran w Iranie, był jak zimny prysznic dla szefów IT wielu firm na całym świecie. Okazało się bowiem, że można włamywać się do systemów informatycznych nadzorujących przebieg procesów technologicznych lub produkcyjnych (ang. SCADA, Supervisory Control And Data Acquisition) i powodować znaczne szkody. Możliwość zorganizowania takiego ataku to woda na młyn dla szpiegów przemysłowych, nieuczciwej konkurencji czy szantażystów. Od jak dawna takie ataki funkcjonują w cyberprzestrzeni? Jakie techniki stosują przestępcy, by włamać się do systemów SCADA? Jakie są tego skutki dla przedsiębiorstw? Swoim doświadczeniem w ocenie tego zjawiska dzieli się Ruchna Nigam (czyt. Ruszna), analityk ds. bezpieczeństwa z laboratoriów FortiGuard Labs firmy Fortinet.



Systemy SCADA są stosowane w wielu różnych gałęziach przemysłu. Odpowiadają na przykład za sterowanie turbinami w elektrowniach czy prawidłowy transport ropy i gazu w sieciach przesyłowych. Na lotniskach są odpowiedzialne za działanie wykrywaczy metalu. Możemy je spotkać także w fabrykach, gdzie są odpowiedzialne za monitorowanie wielu procesów, m.in. nagrzewanie, wentylację czy zużycie energii elektrycznej. Ataki na takie systemy mogą prowadzić do poważnych uszkodzeń instalacji przemysłowych, a w konsekwencji nawet do wyeliminowania z rynku danego przedsiębiorstwa. Właśnie dlatego są one jednymi z najbardziej destrukcyjnych narzędzi stosowanych przez hakerów. Z wyżej wymienionych powodów są też dla nich bardzo atrakcyjne.

To alarmujące, że dopiero wykrycie Stuxnetu uświadomiło firmom możliwe konsekwencje zainfekowania infrastruktury SCADA. Nie był on bowiem pierwszym znanym wirusem atakującym system przemysłowy. Medialny szum wokół ataku otworzył oczy opinii publicznej. Po raz pierwszy udowodniono, że zaawansowane robaki i wirusy mogą zniszczyć nie tylko cyfrowe dane na komputerach, ale także systemy chłodzenia reaktorów, procesy produkcji groźnych dla środowiska substancji chemicznych oraz sieć energetyczną. Wszystko to składa się na tzw. krytyczną infrastrukturę państwa. Jej destabilizacja to priorytet we współczesnej cyberwojnie, której celem jest przejęcie kontroli nad wrogim państwem.

Jaka jest historia ataków na systemy SCADA? Jak wyglądała ich ewolucja przed Stuxnetem i po? Znane ataki na sieci przemysłowe możemy sklasyfikować w trzech kategoriach:

Niepotwierdzone ataki celowane

1982: Pierwszy atak na systemy przemysłowe mógł się wydarzyć już w 1982 roku, a wszystko miało rozpocząć się za sprawą Vladimira Vetrova, pułkownika KGB i szpiega, który na początku lat 80. zdecydował się współpracować z NATO i wywiadem francuskim. Vetrov przekazał sprzymierzonym prawie 4000 tajnych dokumentów, w tym listę 250 aktywnych radzieckich szpiegów przemysłowych rozsianych po całym świecie. Informacje zawarte w teczkach Vetrova (ang. Farewell Dossier) sugerują, że Centralna Agencja Wywiadowcza USA (CIA), zamiast od razu zdemaskować agentów, postanowiła użyć fortelu. W efekcie do Związku Radzieckiego trafiło wiele specjalnie źle zaprojektowanych części, które następnie zostały użyte do budowy gazociągu Transsyberyjskiego (Urengoj–Surgut–Czelabińsk). Przypuszcza się, że do systemu SCADA odpowiedzialnego za sterowanie przesyłem gazu w rurociągu, który Rosjanie skopiowali od kanadyjskiej firmy, wprowadzono także konia trojańskiego, który spowodował słynną eksplozję. Żadna ze stron nigdy nie potwierdziła tego scenariusza, a akta Vetrova wspominają jedynie o celowo uszkodzonych turbinach.

1999: Istnieją doniesienia o ataku z roku 1999 na Gazprom, rosyjskiego potentata gazowego. Koń trojański, który miał trafić do systemu sterowania jednym z rurociągów za pośrednictwem wprowadzonego do organizacji kreta (podstawionej przez wrogą instytucję lub kraj osoby), miał na kilka godzin zakłócić przepływ gazu, ale nigdy nie został przez Gazprom potwierdzony.

Potwierdzone ataki celowane

2009: Światowe korporacje petrochemiczne, w tym Exxon, Shell czy BP zostały zaatakowane przez wirusa o nazwie nocny smok (Night Dragon), dystrybuowanego przez e-mail za pomocą metody spear phishing. Zainfekowane komputery mogły być zdalnie kontrolowane przez hakera. Atakujący prześwietlili plany operacyjne systemów SCADA i ukradli z nich istotne dane.

2014: Pojawia się Havex ukrywający się w zmodyfikowanych instalatorach oprogramowania dla systemów SCADA, dostępnych na oficjalnych stronach producentów (!). Zaprogramowano go tak, by skanował sieć lokalną i dane odbierane od instalacji przemysłowych, a następnie wysyłał zebrane informacje do serwera command and control. Scenariusz działania obejmował zakrojone na szeroką skalę szpiegostwo przemysłowe.

Kolejny intruz – Blacken – został znaleziony na serwerze command and control istniejącego botnetu. Jest skierowany do użytkowników oprogramowania SCADA GE Cimplicity i instaluje pliki wykonywalne w katalogu głównym programu. Niektóre z tych plików wykonywalnych są botami, które mogą być zdalnie kontrolowane. Blacken odwołuje się również do plików projektowych Cimplicity, ale w tym przypadku dokładne działanie szkodnika nie jest jeszcze znane.

Warto wspomnieć również o ataku na jedną z niemieckich hut stali. Z raportu niemieckiego Biura Federalnego ds. Bezpieczeństwa Informacji (niem. Bundesamt für Sicherheit in der Informationstechnik), wynika, iż w 2014 roku spowodował on poważne straty finansowe i fizyczne. Atakujący wykorzystali sztuczki socjotechniczne i maile phishingowe, by uzyskać dostęp do wewnętrznej sieci huty. Następnie włamali się do sieci przemysłowej. Hakerzy byli bardzo doświadczeni nie tylko w zakresie informatyki, ale posiadali także olbrzymią wiedzę z zakresu inżynierii produkcji i systemów sterowania (ang. Industrial Control Systems, ICS) oraz procesu produkcji stali. Wszystko wskazuje więc na nieuczciwą konkurencję albo wywiad obcego państwa. Choć szczegóły działania szkodnika nie zostały ujawnione, doprowadził on do zaburzenia poszczególnych parametrów kontrolnych procesu wytapiania, co doprowadziło do niekontrolowanego zamknięcia wielkiego pieca, powodując ogromne uszkodzenia.

Potwierdzone ataki niecelowane

Co ciekawe świat zna także kilka zupełnie przypadkowych infekcji systemów SCADA. Fakt, że nie były one celowane nie oznacza, że były mniej groźne.

2003: Elektrownia atomowa Davis-Besse z Ohio w USA i amerykański przewoźnik kolejowy CSX Corporation padły ofiarą robaków Slammer i Sobig. Slammer dokonał ataku DoS (ang. denial of service, odmowa usługi) na sieć elektrowni, co spowodowało pięciogodzinną utratę kontroli nad jej systemami bezpieczeństwa. Na szczęście obyło się bez katastrofy nuklearnej. Sobig unieruchomił natomiast system dyspozytorski oraz sygnalizację świetlną, co spowodowało znaczne opóźnienia w ruchu pociągów.

2004: Przewoźnicy tacy jak British Airways, Railcorp czy Delta Airlines padli ofiarą robaka Sasser, który wykorzystał błąd przepełnienia bufora do propagacji na inne dziurawe systemy. Niektóre z agresywnych odmian szkodnika powodowały przeciążenie sieci. W efekcie wiele lotów i pociągów odnotowało opóźnienia. W najgorszych przypadkach loty zostały odwołane.

2009: Francuska marynarka wojenna została zaatakowana przez wirusa o nazwie Conficker. Wykorzystywał on luki w systemie Windows oraz kradł hasła administratorów, by następnie mnożyć się na wszystkich podatnych maszynach, pozyskiwać automatyczne aktualizacje i instalować inny szkodliwy malware. Jak jego obecność odbiła się na funkcjonowaniu całego systemu? Otóż spowodowała niemożność odtworzenia planów lotu dla uziemionych samolotów.

Podsumowując wszystkie znane przypadki ataków na systemy SCADA, możemy wysnuć kilka wniosków. Po pierwsze, za wyjątkiem Stuxnetu i wirusa, który zaatakował niemiecką hutę, żadne inne ataki nie wyrządziły fizycznych szkód. Dlaczego? Ponieważ tak zaawansowany atak wymaga nie tylko nie lada umiejętności, ale również wiedzy technicznej oraz dużych środków finansowych. Nie oznacza to jednak, że takie ataki nie będą następować częściej, ponieważ stawka jest wysoka. To właśnie drugi wniosek. Z biegiem lat liczba ataków na systemy przemysłowe wyraźnie wzrasta, choć na pewno wiele z nich, zwłaszcza mających na celu szpiegostwo przemysłowe, pozostaje w głębokim ukryciu. Patrząc na ewolucję działań cyberprzestępców, możemy być jednak pewni, że będziemy słyszeć o podobnych incydentach coraz częściej. Dla firm oznacza to jedno – najwyższy czas przyjrzeć się zabezpieczeniom swoich sieci technologicznych.

źródło: Fortinet

News Sposoby na bezpieczne hasło

Codziennie zakładamy nowe konta na różnych portalach i stronach internetowych. Wymyślamy coraz to inne hasła, loginy, jednak często nie są one bezpieczne. Są po prostu za proste. Wiele osób nie wie jak powinny wyglądać bezpieczne hasła. czytaj więcej

Fortinet Płatności mobilne na celowniku hakerów – zagrożeni nie tylko klienci

Liczba użytkowników urządzeń mobilnych na świecie wynosi już 4,9 miliarda . Usługi mobilne są dynamicznie rozwijane m.in. przez branżę finansową, z powodzeniem konkurując z bankowością tradycyjną. Płatności mobilne to duża wygoda dla klientów, jednak należy pamiętać, że są one narażone na działania cyberprzestępców. czytaj więcej

Fortinet Sześć wskazówek na cyberbezpieczne wakacje

Latem starannie planujemy wakacyjne wyjazdy. Wybieramy najkorzystniejsze oferty wycieczek i noclegów oraz troszczymy się o bezpieczeństwo naszych bliskich w podróży i podczas wypoczynku. Podobnie powinniśmy zadbać o bezpieczeństwo w świecie cyfrowym, aby przy okazji letniego rozprężenia nie dać się okraść z danych i pieniędzy. czytaj więcej

News Czy roboty zabiorą nam pracę? Fortinet na temat wpływu sztucznej inteligencji na powstawanie nowych stanowisk pracy oraz zawodów

Od początków rewolucji przemysłowej pojawiają się głosy, że postęp technologiczny będzie zabierał człowiekowi pracę. Obecnie, w czasie tzw. czwartej rewolucji przemysłowej, związanej ze sztuczną inteligencją, podobne opinie przybierają na sile. Jednak według ekspertów Fortinet Artificial Intelligence (AI) nie zagraża stanowiskom pracy, a wręcz przeciwnie – tworzy je. czytaj więcej

Fortinet Fortinet uruchomił platformę wymiany informacji dla CISO

Fortinet uruchomił platformę The CISO Collective, aby wspierać menedżerów odpowiedzialnych za bezpieczeństwo. Jest to przestrzeń, w której CISO (Chief Information Security Officer) znajdą wiele przydatnych informacji i wartościowych analiz. czytaj więcej

Fortinet Fortinet wprowadza uczenie maszynowe do firewalla aplikacji WWW FortiWeb

Fortinet zaprezentował najnowszą wersję swojego firewalla aplikacji WWW – FortiWeb 6.0, który do wykrywania zagrożeń wykorzystuje uczenie maszynowe. czytaj więcej

Fortinet Fortinet rozwija globalny program dla dostawców zarządzanych usług zabezpieczeń (MSSP)

Fortinet zaprezentował nowości w programie dla dostawców zarządzanych usług zabezpieczeń (MSSP): poziom Silver Level oraz portfolio rozwiązań dotyczących aktywacji usług i wsparcia technicznego. czytaj więcej

Fortinet Fortinet wprowadza ochronę internetu rzeczy w ramach architektury Security Fabric

Fortinet łączy się z Bradford Networks, aby wzmocnić architekturę Security Fabric i rozszerzyć ofertę bezpieczeństwa dla dużych sieci korporacyjnych w zakresie internetu rzeczy (IoT). czytaj więcej

Fortinet Fortinet rozszerza program partnerski Fabric-Ready o konektory Fabric Connector

Fortinet zaprezentował nowość w swojej ofercie: konektory Fabric Connector, które pozwalają zautomatyzować funkcje operacyjne w środowiskach obejmujących rozwiązania wielu producentów. czytaj więcej

Fortinet Prawie 90% firm doświadczyło naruszenia bezpieczeństwa systemów przemysłowych

Już prawie 3/4 firm łączy środowiska OT (technologii operacyjnych) i IT, aby skutecznie konkurować na cyfrowym rynku, efektywnie wykorzystywać dane i szybko reagować na zmiany. Jednak takie rozwiązanie naraża na cyberataki systemy sterujące produkcją, które nie są odporne na złośliwe oprogramowanie – przypadki naruszenia bezpieczeństwa miały miejsce w aż 88% przedsiębiorstw. czytaj więcej

News Sposoby na bezpieczne hasło

Codziennie zakładamy nowe konta na różnych portalach i stronach internetowych. Wymyślamy coraz to inne hasła, loginy, jednak często nie są one bezpieczne. Są po prostu za proste. Wiele osób nie wie jak powinny wyglądać bezpieczne hasła. czytaj więcej

Fortinet Płatności mobilne na celowniku hakerów – zagrożeni nie tylko klienci

Liczba użytkowników urządzeń mobilnych na świecie wynosi już 4,9 miliarda . Usługi mobilne są dynamicznie rozwijane m.in. przez branżę finansową, z powodzeniem konkurując z bankowością tradycyjną. Płatności mobilne to duża wygoda dla klientów, jednak należy pamiętać, że są one narażone na działania cyberprzestępców. czytaj więcej

Fortinet Sześć wskazówek na cyberbezpieczne wakacje

Latem starannie planujemy wakacyjne wyjazdy. Wybieramy najkorzystniejsze oferty wycieczek i noclegów oraz troszczymy się o bezpieczeństwo naszych bliskich w podróży i podczas wypoczynku. Podobnie powinniśmy zadbać o bezpieczeństwo w świecie cyfrowym, aby przy okazji letniego rozprężenia nie dać się okraść z danych i pieniędzy. czytaj więcej

News Czy roboty zabiorą nam pracę? Fortinet na temat wpływu sztucznej inteligencji na powstawanie nowych stanowisk pracy oraz zawodów

Od początków rewolucji przemysłowej pojawiają się głosy, że postęp technologiczny będzie zabierał człowiekowi pracę. Obecnie, w czasie tzw. czwartej rewolucji przemysłowej, związanej ze sztuczną inteligencją, podobne opinie przybierają na sile. Jednak według ekspertów Fortinet Artificial Intelligence (AI) nie zagraża stanowiskom pracy, a wręcz przeciwnie – tworzy je. czytaj więcej

Fortinet Fortinet uruchomił platformę wymiany informacji dla CISO

Fortinet uruchomił platformę The CISO Collective, aby wspierać menedżerów odpowiedzialnych za bezpieczeństwo. Jest to przestrzeń, w której CISO (Chief Information Security Officer) znajdą wiele przydatnych informacji i wartościowych analiz. czytaj więcej

Fortinet Fortinet wprowadza uczenie maszynowe do firewalla aplikacji WWW FortiWeb

Fortinet zaprezentował najnowszą wersję swojego firewalla aplikacji WWW – FortiWeb 6.0, który do wykrywania zagrożeń wykorzystuje uczenie maszynowe. czytaj więcej

Fortinet Fortinet rozwija globalny program dla dostawców zarządzanych usług zabezpieczeń (MSSP)

Fortinet zaprezentował nowości w programie dla dostawców zarządzanych usług zabezpieczeń (MSSP): poziom Silver Level oraz portfolio rozwiązań dotyczących aktywacji usług i wsparcia technicznego. czytaj więcej

Fortinet Fortinet wprowadza ochronę internetu rzeczy w ramach architektury Security Fabric

Fortinet łączy się z Bradford Networks, aby wzmocnić architekturę Security Fabric i rozszerzyć ofertę bezpieczeństwa dla dużych sieci korporacyjnych w zakresie internetu rzeczy (IoT). czytaj więcej

Fortinet Fortinet rozszerza program partnerski Fabric-Ready o konektory Fabric Connector

Fortinet zaprezentował nowość w swojej ofercie: konektory Fabric Connector, które pozwalają zautomatyzować funkcje operacyjne w środowiskach obejmujących rozwiązania wielu producentów. czytaj więcej

Fortinet Prawie 90% firm doświadczyło naruszenia bezpieczeństwa systemów przemysłowych

Już prawie 3/4 firm łączy środowiska OT (technologii operacyjnych) i IT, aby skutecznie konkurować na cyfrowym rynku, efektywnie wykorzystywać dane i szybko reagować na zmiany. Jednak takie rozwiązanie naraża na cyberataki systemy sterujące produkcją, które nie są odporne na złośliwe oprogramowanie – przypadki naruszenia bezpieczeństwa miały miejsce w aż 88% przedsiębiorstw. czytaj więcej

News Czym jest audyt infrastruktury i bezpieczeństwa IT?

Audyt infrastruktury i bezpieczeństwa IT to kluczowy proces, który pozwala przedsiębiorstwom na zidentyfikowanie i ocenę stanu swoich systemów informatycznych oraz zabezpieczeń. W obliczu rosnących zagrożeń związanych z bezpieczeństwem danych, przeprowadzenie audytu staje się nie tylko zalecane, ale wręcz niezbędne. Dzięki audytowi IT organizacje mogą poprawić wydajność infrastruktury IT oraz zwiększyć poziom bezpieczeństwa informacji i danych osobowych. W niniejszym artykule przyjrzymy się temu, czym jest audyt infrastruktury IT oraz audyt bezpieczeństwa IT, a także jakie korzyści przynosi ich przeprowadzenie. czytaj więcej

Wiadomości firmowe Hakerzy wkraczają do gry: Krakowskie MPK na celowniku cyberprzestępców

Wyobraźcie sobie poranek, kiedy zmarznięci i zaspani próbujecie kupić bilet na tramwaj przez aplikację MPK, ale zamiast tego na ekranie pojawia się komunikat: "Twój system został shackowany". Tak wyglądał 3 grudnia 2024 roku dla krakowian, którzy padli ofiarą... no dobra, może nie oni bezpośrednio, ale ich ulubiony przewoźnik – MPK. czytaj więcej

News Monitory przemysłowe - na co zwrócić uwagę przy wyborze odpowiedniego modelu?

Wybór odpowiedniego monitora przemysłowego ma kluczowe znaczenie dla wielu firm, zwłaszcza tych działających w trudnych warunkach produkcyjnych i przemysłowych. W tego typu środowiskach standardowe rozwiązania IT mogą nie spełniać oczekiwań, dlatego coraz częściej przedsiębiorstwa decydują się na specjalistyczne monitory przemysłowe. Jakie cechy powinien mieć idealny monitor i dlaczego warto rozważyć rozwiązania dostępne na rynku? czytaj więcej

News 10 powodów, dla których potrzebujesz menedżera haseł

Czy zastanawiałeś się, jak ułatwić zarządzanie swoimi hasłami i jednocześnie zwiększyć bezpieczeństwo swoich kont online? Oto 10 kluczowych powodów, dla których warto rozważyć korzystanie z menedżera haseł, który może stać się niezastąpionym narzędziem w Twoim cyfrowym życiu. czytaj więcej