Archiwalne

* Najciekawsze ataki hakerskie na systemy przemysłowe okiem analityka FortiGuard Labs

08.07.2015

Głośny atak amerykańskiego wirusa Stuxnet, który w 2010 roku zdestabilizował pracę wirówek wzbogacających uran w Iranie, był jak zimny prysznic dla szefów IT wielu firm na całym świecie. Okazało się bowiem, że można włamywać się do systemów informatycznych nadzorujących przebieg procesów technologicznych lub produkcyjnych (ang. SCADA, Supervisory Control And Data Acquisition) i powodować znaczne szkody. Możliwość zorganizowania takiego ataku to woda na młyn dla szpiegów przemysłowych, nieuczciwej konkurencji czy szantażystów. Od jak dawna takie ataki funkcjonują w cyberprzestrzeni? Jakie techniki stosują przestępcy, by włamać się do systemów SCADA? Jakie są tego skutki dla przedsiębiorstw? Swoim doświadczeniem w ocenie tego zjawiska dzieli się Ruchna Nigam (czyt. Ruszna), analityk ds. bezpieczeństwa z laboratoriów FortiGuard Labs firmy Fortinet.



Systemy SCADA są stosowane w wielu różnych gałęziach przemysłu. Odpowiadają na przykład za sterowanie turbinami w elektrowniach czy prawidłowy transport ropy i gazu w sieciach przesyłowych. Na lotniskach są odpowiedzialne za działanie wykrywaczy metalu. Możemy je spotkać także w fabrykach, gdzie są odpowiedzialne za monitorowanie wielu procesów, m.in. nagrzewanie, wentylację czy zużycie energii elektrycznej. Ataki na takie systemy mogą prowadzić do poważnych uszkodzeń instalacji przemysłowych, a w konsekwencji nawet do wyeliminowania z rynku danego przedsiębiorstwa. Właśnie dlatego są one jednymi z najbardziej destrukcyjnych narzędzi stosowanych przez hakerów. Z wyżej wymienionych powodów są też dla nich bardzo atrakcyjne.

To alarmujące, że dopiero wykrycie Stuxnetu uświadomiło firmom możliwe konsekwencje zainfekowania infrastruktury SCADA. Nie był on bowiem pierwszym znanym wirusem atakującym system przemysłowy. Medialny szum wokół ataku otworzył oczy opinii publicznej. Po raz pierwszy udowodniono, że zaawansowane robaki i wirusy mogą zniszczyć nie tylko cyfrowe dane na komputerach, ale także systemy chłodzenia reaktorów, procesy produkcji groźnych dla środowiska substancji chemicznych oraz sieć energetyczną. Wszystko to składa się na tzw. krytyczną infrastrukturę państwa. Jej destabilizacja to priorytet we współczesnej cyberwojnie, której celem jest przejęcie kontroli nad wrogim państwem.

Jaka jest historia ataków na systemy SCADA? Jak wyglądała ich ewolucja przed Stuxnetem i po? Znane ataki na sieci przemysłowe możemy sklasyfikować w trzech kategoriach:

Niepotwierdzone ataki celowane

1982: Pierwszy atak na systemy przemysłowe mógł się wydarzyć już w 1982 roku, a wszystko miało rozpocząć się za sprawą Vladimira Vetrova, pułkownika KGB i szpiega, który na początku lat 80. zdecydował się współpracować z NATO i wywiadem francuskim. Vetrov przekazał sprzymierzonym prawie 4000 tajnych dokumentów, w tym listę 250 aktywnych radzieckich szpiegów przemysłowych rozsianych po całym świecie. Informacje zawarte w teczkach Vetrova (ang. Farewell Dossier) sugerują, że Centralna Agencja Wywiadowcza USA (CIA), zamiast od razu zdemaskować agentów, postanowiła użyć fortelu. W efekcie do Związku Radzieckiego trafiło wiele specjalnie źle zaprojektowanych części, które następnie zostały użyte do budowy gazociągu Transsyberyjskiego (Urengoj–Surgut–Czelabińsk). Przypuszcza się, że do systemu SCADA odpowiedzialnego za sterowanie przesyłem gazu w rurociągu, który Rosjanie skopiowali od kanadyjskiej firmy, wprowadzono także konia trojańskiego, który spowodował słynną eksplozję. Żadna ze stron nigdy nie potwierdziła tego scenariusza, a akta Vetrova wspominają jedynie o celowo uszkodzonych turbinach.

1999: Istnieją doniesienia o ataku z roku 1999 na Gazprom, rosyjskiego potentata gazowego. Koń trojański, który miał trafić do systemu sterowania jednym z rurociągów za pośrednictwem wprowadzonego do organizacji kreta (podstawionej przez wrogą instytucję lub kraj osoby), miał na kilka godzin zakłócić przepływ gazu, ale nigdy nie został przez Gazprom potwierdzony.

Potwierdzone ataki celowane

2009: Światowe korporacje petrochemiczne, w tym Exxon, Shell czy BP zostały zaatakowane przez wirusa o nazwie nocny smok (Night Dragon), dystrybuowanego przez e-mail za pomocą metody spear phishing. Zainfekowane komputery mogły być zdalnie kontrolowane przez hakera. Atakujący prześwietlili plany operacyjne systemów SCADA i ukradli z nich istotne dane.

2014: Pojawia się Havex ukrywający się w zmodyfikowanych instalatorach oprogramowania dla systemów SCADA, dostępnych na oficjalnych stronach producentów (!). Zaprogramowano go tak, by skanował sieć lokalną i dane odbierane od instalacji przemysłowych, a następnie wysyłał zebrane informacje do serwera command and control. Scenariusz działania obejmował zakrojone na szeroką skalę szpiegostwo przemysłowe.

Kolejny intruz – Blacken – został znaleziony na serwerze command and control istniejącego botnetu. Jest skierowany do użytkowników oprogramowania SCADA GE Cimplicity i instaluje pliki wykonywalne w katalogu głównym programu. Niektóre z tych plików wykonywalnych są botami, które mogą być zdalnie kontrolowane. Blacken odwołuje się również do plików projektowych Cimplicity, ale w tym przypadku dokładne działanie szkodnika nie jest jeszcze znane.

Warto wspomnieć również o ataku na jedną z niemieckich hut stali. Z raportu niemieckiego Biura Federalnego ds. Bezpieczeństwa Informacji (niem. Bundesamt für Sicherheit in der Informationstechnik), wynika, iż w 2014 roku spowodował on poważne straty finansowe i fizyczne. Atakujący wykorzystali sztuczki socjotechniczne i maile phishingowe, by uzyskać dostęp do wewnętrznej sieci huty. Następnie włamali się do sieci przemysłowej. Hakerzy byli bardzo doświadczeni nie tylko w zakresie informatyki, ale posiadali także olbrzymią wiedzę z zakresu inżynierii produkcji i systemów sterowania (ang. Industrial Control Systems, ICS) oraz procesu produkcji stali. Wszystko wskazuje więc na nieuczciwą konkurencję albo wywiad obcego państwa. Choć szczegóły działania szkodnika nie zostały ujawnione, doprowadził on do zaburzenia poszczególnych parametrów kontrolnych procesu wytapiania, co doprowadziło do niekontrolowanego zamknięcia wielkiego pieca, powodując ogromne uszkodzenia.

Potwierdzone ataki niecelowane

Co ciekawe świat zna także kilka zupełnie przypadkowych infekcji systemów SCADA. Fakt, że nie były one celowane nie oznacza, że były mniej groźne.

2003: Elektrownia atomowa Davis-Besse z Ohio w USA i amerykański przewoźnik kolejowy CSX Corporation padły ofiarą robaków Slammer i Sobig. Slammer dokonał ataku DoS (ang. denial of service, odmowa usługi) na sieć elektrowni, co spowodowało pięciogodzinną utratę kontroli nad jej systemami bezpieczeństwa. Na szczęście obyło się bez katastrofy nuklearnej. Sobig unieruchomił natomiast system dyspozytorski oraz sygnalizację świetlną, co spowodowało znaczne opóźnienia w ruchu pociągów.

2004: Przewoźnicy tacy jak British Airways, Railcorp czy Delta Airlines padli ofiarą robaka Sasser, który wykorzystał błąd przepełnienia bufora do propagacji na inne dziurawe systemy. Niektóre z agresywnych odmian szkodnika powodowały przeciążenie sieci. W efekcie wiele lotów i pociągów odnotowało opóźnienia. W najgorszych przypadkach loty zostały odwołane.

2009: Francuska marynarka wojenna została zaatakowana przez wirusa o nazwie Conficker. Wykorzystywał on luki w systemie Windows oraz kradł hasła administratorów, by następnie mnożyć się na wszystkich podatnych maszynach, pozyskiwać automatyczne aktualizacje i instalować inny szkodliwy malware. Jak jego obecność odbiła się na funkcjonowaniu całego systemu? Otóż spowodowała niemożność odtworzenia planów lotu dla uziemionych samolotów.

Podsumowując wszystkie znane przypadki ataków na systemy SCADA, możemy wysnuć kilka wniosków. Po pierwsze, za wyjątkiem Stuxnetu i wirusa, który zaatakował niemiecką hutę, żadne inne ataki nie wyrządziły fizycznych szkód. Dlaczego? Ponieważ tak zaawansowany atak wymaga nie tylko nie lada umiejętności, ale również wiedzy technicznej oraz dużych środków finansowych. Nie oznacza to jednak, że takie ataki nie będą następować częściej, ponieważ stawka jest wysoka. To właśnie drugi wniosek. Z biegiem lat liczba ataków na systemy przemysłowe wyraźnie wzrasta, choć na pewno wiele z nich, zwłaszcza mających na celu szpiegostwo przemysłowe, pozostaje w głębokim ukryciu. Patrząc na ewolucję działań cyberprzestępców, możemy być jednak pewni, że będziemy słyszeć o podobnych incydentach coraz częściej. Dla firm oznacza to jedno – najwyższy czas przyjrzeć się zabezpieczeniom swoich sieci technologicznych.

źródło: Fortinet

Fortinet GandCrab, czyli ransomware z niespodzianką

GandCrab należy do najszerzej rozpowszechnionych w tym roku rodzin ransomware. W swojej najnowszej odsłonie zmienia tapety w zainfekowanych urządzeniach, wyświetlając na nich notę z żądaniem okupu. Cyberprzestępcy popełnili jednak niezamierzony błąd, dzięki któremu użytkownicy systemu Windows 7 mogą przy odrobinie wysiłku pozbyć się złośliwego oprogramowania. czytaj więcej

Fortinet Pięć sposobów na cyberbezpieczny mundial

Piłkarskie mistrzostwa świata elektryzują tysiące polskich kibiców. Wielu z nich będzie poszukiwało transmisji meczów online. Specjaliści Fortinet radzą, jak w trakcie mundialowej gorączki zachować zimną głowę i bezpiecznie poruszać się w internecie. czytaj więcej

Fortinet Fortinet rozszerza współpracę z firmą IBM

Fortinet poinformował o rozwinięciu dotychczasowej współpracy z firmą IBM w ramach nowej usługi IBM X-Force Threat Management Services. czytaj więcej

Fortinet Fortinet: Protokół WPA2 nie jest bezpieczny. Jak zadbać o bezpieczeństwo WiFi?

Najpopularniejszy standard szyfrowania WiFi - WPA2, nie może być traktowany jako bezpieczny. Nowa metoda ataku KRACK (Key Reinstallation AttaCK) jest w stanie złamać szyfrowanie WPA2, umożliwiając przestępcom odczytywanie informacji przesyłanych między urządzeniem a jego bezprzewodowym punktem dostępu za pomocą wariantu popularnego – i zazwyczaj często wykrywalnego – ataku typu „man-in-the-middle”. czytaj więcej

Fortinet Jak zachować bezpieczeństwo w sieci? Porady od ekspertów Fortinet

Fortinet, światowy lider w wysoko wydajnych rozwiązaniach cyberbezpieczeństwa, zaleca wzmożoną czujność w związku z coraz bardziej zaawansowanymi cyberatakami wymierzonymi nie tylko w firmy i organizacje, ale również w prywatnych użytkowników – cyberprzestępcy coraz częściej biorą na cel sieci domowe oraz urządzenia mobilne. czytaj więcej

Fortinet Raport Fortinet: rośnie liczba ataków ransomware, cyberprzestępcy uderzają w weekendy

Fortinet® (NASDAQ: FTNT), światowy lider w dziedzinie zaawansowanych cyberzabezpieczeń, przedstawił wyniki swojego najnowszego globalnego badania zagrożeń informatycznych. Według niego stale rośnie liczba ataków ransomware, dwie trzecie firm miało do czynienia ze złośliwym oprogramowaniem, które stwarzało duże bądź krytyczne zagrożenie, a cyberprzestępcy coraz częściej atakują podczas weekendów i dni wolnych. czytaj więcej

Fortinet Fortinet: „Haktywista” czy cybermafia – kto czyha na twoje dane?

W dobie współczesnych zaawansowanych cyberataków nie wystarczy jedynie znać zasoby swojej sieci, mieć świadomość jej słabych punktów i wprowadzać odpowiednie zabezpieczenia. Bardzo ważne jest także rozpoznanie wroga – cyberprzestępcy. Przygotowanie się do obrony przed znanym przeciwnikiem znacznie podnosi szansę na jej skuteczność. czytaj więcej

Fortinet Fortinet: Cyberbezpieczeństwo w epoce millenialsów

Millenialsi podbijają rynki pracy. Są to osoby w wieku od dwudziestu kilku do trzydziestu kilku lat, którzy według badań firmy PwC około 2020 roku będą stanowić połowę globalnej liczby pracowników. Millenialsi mają swoje przyzwyczajenia i nawyki: lubią dzielić się wydarzeniami z życia w mediach społecznościowych, chcą elastycznego podejścia do pracy i potrafią szybko ją zmienić, jeśli ich oczekiwania nie zostają spełnione. Ich cechy charakteru będą coraz mocniej wpływały na kulturę miejsc pracy, a co za tym idzie – będą także stanowiły poważny test dla firmowych systemów cyberbezpieczeństwa. Specjaliści z firmy Fortinet wskazują, na co działy IT powinny zwrócić szczególną uwagę. czytaj więcej

Fortinet Fortinet: Trzy sposoby na cyberbezpieczne wakacje

Niezależnie od tego, gdzie wybieramy się na letni wypoczynek, część czasu zapewne spędzimy w sieci. Zabierzemy ze sobą smartfona lub laptopa, będziemy sprawdzać pocztę, korzystając z publicznego wi-fi w hotelu, a dzieci zechcą w deszczowe dni zagrać w grę online. Dlatego warto stosować się do zaleceń dotyczących bezpiecznego korzystania z publicznych sieci, aby nie wpaść w wakacyjne cyfrowe kłopoty. czytaj więcej

Fortinet Fortinet zacieśnia współpracę z Microsoftem

Fortinet poinformował o rozszerzeniu współpracy z firmą Microsoft w ramach programu partnerskiego Fortinet Fabric Ready. czytaj więcej

Fortinet GandCrab, czyli ransomware z niespodzianką

GandCrab należy do najszerzej rozpowszechnionych w tym roku rodzin ransomware. W swojej najnowszej odsłonie zmienia tapety w zainfekowanych urządzeniach, wyświetlając na nich notę z żądaniem okupu. Cyberprzestępcy popełnili jednak niezamierzony błąd, dzięki któremu użytkownicy systemu Windows 7 mogą przy odrobinie wysiłku pozbyć się złośliwego oprogramowania. czytaj więcej

Fortinet Pięć sposobów na cyberbezpieczny mundial

Piłkarskie mistrzostwa świata elektryzują tysiące polskich kibiców. Wielu z nich będzie poszukiwało transmisji meczów online. Specjaliści Fortinet radzą, jak w trakcie mundialowej gorączki zachować zimną głowę i bezpiecznie poruszać się w internecie. czytaj więcej

Fortinet Fortinet rozszerza współpracę z firmą IBM

Fortinet poinformował o rozwinięciu dotychczasowej współpracy z firmą IBM w ramach nowej usługi IBM X-Force Threat Management Services. czytaj więcej

Fortinet Fortinet: Protokół WPA2 nie jest bezpieczny. Jak zadbać o bezpieczeństwo WiFi?

Najpopularniejszy standard szyfrowania WiFi - WPA2, nie może być traktowany jako bezpieczny. Nowa metoda ataku KRACK (Key Reinstallation AttaCK) jest w stanie złamać szyfrowanie WPA2, umożliwiając przestępcom odczytywanie informacji przesyłanych między urządzeniem a jego bezprzewodowym punktem dostępu za pomocą wariantu popularnego – i zazwyczaj często wykrywalnego – ataku typu „man-in-the-middle”. czytaj więcej

Fortinet Jak zachować bezpieczeństwo w sieci? Porady od ekspertów Fortinet

Fortinet, światowy lider w wysoko wydajnych rozwiązaniach cyberbezpieczeństwa, zaleca wzmożoną czujność w związku z coraz bardziej zaawansowanymi cyberatakami wymierzonymi nie tylko w firmy i organizacje, ale również w prywatnych użytkowników – cyberprzestępcy coraz częściej biorą na cel sieci domowe oraz urządzenia mobilne. czytaj więcej

Fortinet Raport Fortinet: rośnie liczba ataków ransomware, cyberprzestępcy uderzają w weekendy

Fortinet® (NASDAQ: FTNT), światowy lider w dziedzinie zaawansowanych cyberzabezpieczeń, przedstawił wyniki swojego najnowszego globalnego badania zagrożeń informatycznych. Według niego stale rośnie liczba ataków ransomware, dwie trzecie firm miało do czynienia ze złośliwym oprogramowaniem, które stwarzało duże bądź krytyczne zagrożenie, a cyberprzestępcy coraz częściej atakują podczas weekendów i dni wolnych. czytaj więcej

Fortinet Fortinet: „Haktywista” czy cybermafia – kto czyha na twoje dane?

W dobie współczesnych zaawansowanych cyberataków nie wystarczy jedynie znać zasoby swojej sieci, mieć świadomość jej słabych punktów i wprowadzać odpowiednie zabezpieczenia. Bardzo ważne jest także rozpoznanie wroga – cyberprzestępcy. Przygotowanie się do obrony przed znanym przeciwnikiem znacznie podnosi szansę na jej skuteczność. czytaj więcej

Fortinet Fortinet: Cyberbezpieczeństwo w epoce millenialsów

Millenialsi podbijają rynki pracy. Są to osoby w wieku od dwudziestu kilku do trzydziestu kilku lat, którzy według badań firmy PwC około 2020 roku będą stanowić połowę globalnej liczby pracowników. Millenialsi mają swoje przyzwyczajenia i nawyki: lubią dzielić się wydarzeniami z życia w mediach społecznościowych, chcą elastycznego podejścia do pracy i potrafią szybko ją zmienić, jeśli ich oczekiwania nie zostają spełnione. Ich cechy charakteru będą coraz mocniej wpływały na kulturę miejsc pracy, a co za tym idzie – będą także stanowiły poważny test dla firmowych systemów cyberbezpieczeństwa. Specjaliści z firmy Fortinet wskazują, na co działy IT powinny zwrócić szczególną uwagę. czytaj więcej

Fortinet Fortinet: Trzy sposoby na cyberbezpieczne wakacje

Niezależnie od tego, gdzie wybieramy się na letni wypoczynek, część czasu zapewne spędzimy w sieci. Zabierzemy ze sobą smartfona lub laptopa, będziemy sprawdzać pocztę, korzystając z publicznego wi-fi w hotelu, a dzieci zechcą w deszczowe dni zagrać w grę online. Dlatego warto stosować się do zaleceń dotyczących bezpiecznego korzystania z publicznych sieci, aby nie wpaść w wakacyjne cyfrowe kłopoty. czytaj więcej

Fortinet Fortinet zacieśnia współpracę z Microsoftem

Fortinet poinformował o rozszerzeniu współpracy z firmą Microsoft w ramach programu partnerskiego Fortinet Fabric Ready. czytaj więcej