Archiwalne

* Najciekawsze ataki hakerskie na systemy przemysłowe okiem analityka FortiGuard Labs

08.07.2015

Głośny atak amerykańskiego wirusa Stuxnet, który w 2010 roku zdestabilizował pracę wirówek wzbogacających uran w Iranie, był jak zimny prysznic dla szefów IT wielu firm na całym świecie. Okazało się bowiem, że można włamywać się do systemów informatycznych nadzorujących przebieg procesów technologicznych lub produkcyjnych (ang. SCADA, Supervisory Control And Data Acquisition) i powodować znaczne szkody. Możliwość zorganizowania takiego ataku to woda na młyn dla szpiegów przemysłowych, nieuczciwej konkurencji czy szantażystów. Od jak dawna takie ataki funkcjonują w cyberprzestrzeni? Jakie techniki stosują przestępcy, by włamać się do systemów SCADA? Jakie są tego skutki dla przedsiębiorstw? Swoim doświadczeniem w ocenie tego zjawiska dzieli się Ruchna Nigam (czyt. Ruszna), analityk ds. bezpieczeństwa z laboratoriów FortiGuard Labs firmy Fortinet.



Systemy SCADA są stosowane w wielu różnych gałęziach przemysłu. Odpowiadają na przykład za sterowanie turbinami w elektrowniach czy prawidłowy transport ropy i gazu w sieciach przesyłowych. Na lotniskach są odpowiedzialne za działanie wykrywaczy metalu. Możemy je spotkać także w fabrykach, gdzie są odpowiedzialne za monitorowanie wielu procesów, m.in. nagrzewanie, wentylację czy zużycie energii elektrycznej. Ataki na takie systemy mogą prowadzić do poważnych uszkodzeń instalacji przemysłowych, a w konsekwencji nawet do wyeliminowania z rynku danego przedsiębiorstwa. Właśnie dlatego są one jednymi z najbardziej destrukcyjnych narzędzi stosowanych przez hakerów. Z wyżej wymienionych powodów są też dla nich bardzo atrakcyjne.

To alarmujące, że dopiero wykrycie Stuxnetu uświadomiło firmom możliwe konsekwencje zainfekowania infrastruktury SCADA. Nie był on bowiem pierwszym znanym wirusem atakującym system przemysłowy. Medialny szum wokół ataku otworzył oczy opinii publicznej. Po raz pierwszy udowodniono, że zaawansowane robaki i wirusy mogą zniszczyć nie tylko cyfrowe dane na komputerach, ale także systemy chłodzenia reaktorów, procesy produkcji groźnych dla środowiska substancji chemicznych oraz sieć energetyczną. Wszystko to składa się na tzw. krytyczną infrastrukturę państwa. Jej destabilizacja to priorytet we współczesnej cyberwojnie, której celem jest przejęcie kontroli nad wrogim państwem.

Jaka jest historia ataków na systemy SCADA? Jak wyglądała ich ewolucja przed Stuxnetem i po? Znane ataki na sieci przemysłowe możemy sklasyfikować w trzech kategoriach:

Niepotwierdzone ataki celowane

1982: Pierwszy atak na systemy przemysłowe mógł się wydarzyć już w 1982 roku, a wszystko miało rozpocząć się za sprawą Vladimira Vetrova, pułkownika KGB i szpiega, który na początku lat 80. zdecydował się współpracować z NATO i wywiadem francuskim. Vetrov przekazał sprzymierzonym prawie 4000 tajnych dokumentów, w tym listę 250 aktywnych radzieckich szpiegów przemysłowych rozsianych po całym świecie. Informacje zawarte w teczkach Vetrova (ang. Farewell Dossier) sugerują, że Centralna Agencja Wywiadowcza USA (CIA), zamiast od razu zdemaskować agentów, postanowiła użyć fortelu. W efekcie do Związku Radzieckiego trafiło wiele specjalnie źle zaprojektowanych części, które następnie zostały użyte do budowy gazociągu Transsyberyjskiego (Urengoj–Surgut–Czelabińsk). Przypuszcza się, że do systemu SCADA odpowiedzialnego za sterowanie przesyłem gazu w rurociągu, który Rosjanie skopiowali od kanadyjskiej firmy, wprowadzono także konia trojańskiego, który spowodował słynną eksplozję. Żadna ze stron nigdy nie potwierdziła tego scenariusza, a akta Vetrova wspominają jedynie o celowo uszkodzonych turbinach.

1999: Istnieją doniesienia o ataku z roku 1999 na Gazprom, rosyjskiego potentata gazowego. Koń trojański, który miał trafić do systemu sterowania jednym z rurociągów za pośrednictwem wprowadzonego do organizacji kreta (podstawionej przez wrogą instytucję lub kraj osoby), miał na kilka godzin zakłócić przepływ gazu, ale nigdy nie został przez Gazprom potwierdzony.

Potwierdzone ataki celowane

2009: Światowe korporacje petrochemiczne, w tym Exxon, Shell czy BP zostały zaatakowane przez wirusa o nazwie nocny smok (Night Dragon), dystrybuowanego przez e-mail za pomocą metody spear phishing. Zainfekowane komputery mogły być zdalnie kontrolowane przez hakera. Atakujący prześwietlili plany operacyjne systemów SCADA i ukradli z nich istotne dane.

2014: Pojawia się Havex ukrywający się w zmodyfikowanych instalatorach oprogramowania dla systemów SCADA, dostępnych na oficjalnych stronach producentów (!). Zaprogramowano go tak, by skanował sieć lokalną i dane odbierane od instalacji przemysłowych, a następnie wysyłał zebrane informacje do serwera command and control. Scenariusz działania obejmował zakrojone na szeroką skalę szpiegostwo przemysłowe.

Kolejny intruz – Blacken – został znaleziony na serwerze command and control istniejącego botnetu. Jest skierowany do użytkowników oprogramowania SCADA GE Cimplicity i instaluje pliki wykonywalne w katalogu głównym programu. Niektóre z tych plików wykonywalnych są botami, które mogą być zdalnie kontrolowane. Blacken odwołuje się również do plików projektowych Cimplicity, ale w tym przypadku dokładne działanie szkodnika nie jest jeszcze znane.

Warto wspomnieć również o ataku na jedną z niemieckich hut stali. Z raportu niemieckiego Biura Federalnego ds. Bezpieczeństwa Informacji (niem. Bundesamt für Sicherheit in der Informationstechnik), wynika, iż w 2014 roku spowodował on poważne straty finansowe i fizyczne. Atakujący wykorzystali sztuczki socjotechniczne i maile phishingowe, by uzyskać dostęp do wewnętrznej sieci huty. Następnie włamali się do sieci przemysłowej. Hakerzy byli bardzo doświadczeni nie tylko w zakresie informatyki, ale posiadali także olbrzymią wiedzę z zakresu inżynierii produkcji i systemów sterowania (ang. Industrial Control Systems, ICS) oraz procesu produkcji stali. Wszystko wskazuje więc na nieuczciwą konkurencję albo wywiad obcego państwa. Choć szczegóły działania szkodnika nie zostały ujawnione, doprowadził on do zaburzenia poszczególnych parametrów kontrolnych procesu wytapiania, co doprowadziło do niekontrolowanego zamknięcia wielkiego pieca, powodując ogromne uszkodzenia.

Potwierdzone ataki niecelowane

Co ciekawe świat zna także kilka zupełnie przypadkowych infekcji systemów SCADA. Fakt, że nie były one celowane nie oznacza, że były mniej groźne.

2003: Elektrownia atomowa Davis-Besse z Ohio w USA i amerykański przewoźnik kolejowy CSX Corporation padły ofiarą robaków Slammer i Sobig. Slammer dokonał ataku DoS (ang. denial of service, odmowa usługi) na sieć elektrowni, co spowodowało pięciogodzinną utratę kontroli nad jej systemami bezpieczeństwa. Na szczęście obyło się bez katastrofy nuklearnej. Sobig unieruchomił natomiast system dyspozytorski oraz sygnalizację świetlną, co spowodowało znaczne opóźnienia w ruchu pociągów.

2004: Przewoźnicy tacy jak British Airways, Railcorp czy Delta Airlines padli ofiarą robaka Sasser, który wykorzystał błąd przepełnienia bufora do propagacji na inne dziurawe systemy. Niektóre z agresywnych odmian szkodnika powodowały przeciążenie sieci. W efekcie wiele lotów i pociągów odnotowało opóźnienia. W najgorszych przypadkach loty zostały odwołane.

2009: Francuska marynarka wojenna została zaatakowana przez wirusa o nazwie Conficker. Wykorzystywał on luki w systemie Windows oraz kradł hasła administratorów, by następnie mnożyć się na wszystkich podatnych maszynach, pozyskiwać automatyczne aktualizacje i instalować inny szkodliwy malware. Jak jego obecność odbiła się na funkcjonowaniu całego systemu? Otóż spowodowała niemożność odtworzenia planów lotu dla uziemionych samolotów.

Podsumowując wszystkie znane przypadki ataków na systemy SCADA, możemy wysnuć kilka wniosków. Po pierwsze, za wyjątkiem Stuxnetu i wirusa, który zaatakował niemiecką hutę, żadne inne ataki nie wyrządziły fizycznych szkód. Dlaczego? Ponieważ tak zaawansowany atak wymaga nie tylko nie lada umiejętności, ale również wiedzy technicznej oraz dużych środków finansowych. Nie oznacza to jednak, że takie ataki nie będą następować częściej, ponieważ stawka jest wysoka. To właśnie drugi wniosek. Z biegiem lat liczba ataków na systemy przemysłowe wyraźnie wzrasta, choć na pewno wiele z nich, zwłaszcza mających na celu szpiegostwo przemysłowe, pozostaje w głębokim ukryciu. Patrząc na ewolucję działań cyberprzestępców, możemy być jednak pewni, że będziemy słyszeć o podobnych incydentach coraz częściej. Dla firm oznacza to jedno – najwyższy czas przyjrzeć się zabezpieczeniom swoich sieci technologicznych.

źródło: Fortinet

Fortinet Fortinet - raport cyberzagrożenia w I kwartale 2017 roku

Fortinet przedstawił wyniki swojego najnowszego globalnego badania cyberzagrożeń. Według nich aż 80% organizacji wykryło w I kwartale br. groźne eksploity, wzrósł udział szkodliwego oprogramowania skierowanego na system Android, a wzrost stosunku ruchu HTTPS do HTTP sprzyja ochronie prywatności, ale zarazem utrudnia monitorowanie i wykrywanie zagrożeń. czytaj więcej

Fortinet Bezpieczne przedmioty w bezpiecznej sieci – porady od ekspertów Fortinet

Fortinet: eksperci podpowiadają, w jaki sposób zabezpieczyć sieć domową oraz podłączone w niej przedmioty. Specjaliści wskazują, że podstawową sprawą jest zabezpieczenie domowego routera - jak bowiem pokazują badania, w ubiegłym roku cyberprzestępcy dokonali ponad 25 miliardów ataków na routery sieci bezprzewodowych.

Z kolei nowo podłączane sprzęty należy sprawdzić pod kątem bezpieczeństwa i zorientować się, czy istnieją znane luki w ich zabezpieczeniach i czy można je aktualizować. Wiele tego typu urządzeń zawiera oprogramowanie wrażliwe na ataki lub luki, które czynią z nich łatwe, potencjalne cele. czytaj więcej

Fortinet Fortinet: Dlaczego dane z rejestrów medycznych są atrakcyjne dla cyberprzestępców?

Wśród cyberprzestępców wzrasta popularność danych z rejestrów medycznych. Specjaliści Fortinet wskazują na trzy główne przyczyny takiego stanu rzeczy: dogłębność zawartych w rejestrach medycznych informacji, trwałość tych danych oraz ograniczoną możliwość ich odzyskania. Eksperci podkreślają także, że cyberprzestępcy używają takich metod ataków jak ransomware czy DDoS, ale też coraz częściej atakują za pośrednictwem przedmiotów Internetu Rzeczy. czytaj więcej

Fortinet Fortinet: Karta kredytowa za pół dolara, czyli ile na czarnym rynku kosztują nasze dane

Eksperci Fortinet sprawdzili, ile w przybliżeniu na czarnym rynku mogą kosztować nasze dane wykradzione przez cyberprzestępców.

Okazuje się, że ważne numery kart kredytowych można kupić już za pół dolara, a cena za dane konta bankowego może wynieść od mniej niż dolara do około 70 dolarów – w zależności od objętości danych i zgromadzonych na koncie środków. czytaj więcej

Fortinet Fortinet: Jak pracownik zdalny może zabezpieczyć swoją sieć domową

Jak pracownik zdalny może zabezpieczać swoją sieć domową, aby nie narażać firmy na utratę cennych danych.

Specjaliści Fortinet zalecają trzyetapowe podejście do kwestii cyberbezpieczeństwa domowych sieci. Oparte jest ono na poznaniu tego, co znajduje się w sieci, podzieleniu jej na odrębne segmenty, a następnie wdrożeniu odpowiedniego zabezpieczenia. czytaj więcej

Fortinet Fortinet Security Fabric dostępne w środowiskach chmurowych

Fortinet poinformował, że rozwiązania Fortinet Security Fabric są teraz dostępne we wszystkich środowiskach chmurowych, od prywatnych i publicznych chmur typu Infrastructure-as-a-Service (IaaS) do aplikacji typu Software-as-a-Service (SaaS). czytaj więcej

Fortinet Fortinet: Pięć obszarów innowacji w dziedzinie cyberzabezpieczeń w 2017 r.

Fortinet opublikował najnowszy materiał na temat innowacji w dziedzinie cyberzabezpieczeń w 2017 roku. Michael Xie, założyciel i prezes Fortinetu wskazuje w nim na kilka obszarów, które branża cyberbezpieczeństwa obejmie w tym roku intensywną działalnością badawczo-rozwojową. Wśród nich są m.in. uczenie maszynowe metodą deep learning, wzmacnianie bezpieczeństwa kontenerów czy wsparcie przedsiębiorstw w stosowaniu sieci SD-WAN. czytaj więcej

Fortinet Fortinet - raport cyberzagrożenia w I kwartale 2017 roku

Fortinet przedstawił wyniki swojego najnowszego globalnego badania cyberzagrożeń. Według nich aż 80% organizacji wykryło w I kwartale br. groźne eksploity, wzrósł udział szkodliwego oprogramowania skierowanego na system Android, a wzrost stosunku ruchu HTTPS do HTTP sprzyja ochronie prywatności, ale zarazem utrudnia monitorowanie i wykrywanie zagrożeń. czytaj więcej

Fortinet Bezpieczne przedmioty w bezpiecznej sieci – porady od ekspertów Fortinet

Fortinet: eksperci podpowiadają, w jaki sposób zabezpieczyć sieć domową oraz podłączone w niej przedmioty. Specjaliści wskazują, że podstawową sprawą jest zabezpieczenie domowego routera - jak bowiem pokazują badania, w ubiegłym roku cyberprzestępcy dokonali ponad 25 miliardów ataków na routery sieci bezprzewodowych.

Z kolei nowo podłączane sprzęty należy sprawdzić pod kątem bezpieczeństwa i zorientować się, czy istnieją znane luki w ich zabezpieczeniach i czy można je aktualizować. Wiele tego typu urządzeń zawiera oprogramowanie wrażliwe na ataki lub luki, które czynią z nich łatwe, potencjalne cele. czytaj więcej

Fortinet Fortinet: Dlaczego dane z rejestrów medycznych są atrakcyjne dla cyberprzestępców?

Wśród cyberprzestępców wzrasta popularność danych z rejestrów medycznych. Specjaliści Fortinet wskazują na trzy główne przyczyny takiego stanu rzeczy: dogłębność zawartych w rejestrach medycznych informacji, trwałość tych danych oraz ograniczoną możliwość ich odzyskania. Eksperci podkreślają także, że cyberprzestępcy używają takich metod ataków jak ransomware czy DDoS, ale też coraz częściej atakują za pośrednictwem przedmiotów Internetu Rzeczy. czytaj więcej

Fortinet Fortinet: Karta kredytowa za pół dolara, czyli ile na czarnym rynku kosztują nasze dane

Eksperci Fortinet sprawdzili, ile w przybliżeniu na czarnym rynku mogą kosztować nasze dane wykradzione przez cyberprzestępców.

Okazuje się, że ważne numery kart kredytowych można kupić już za pół dolara, a cena za dane konta bankowego może wynieść od mniej niż dolara do około 70 dolarów – w zależności od objętości danych i zgromadzonych na koncie środków. czytaj więcej

Fortinet Fortinet: Jak pracownik zdalny może zabezpieczyć swoją sieć domową

Jak pracownik zdalny może zabezpieczać swoją sieć domową, aby nie narażać firmy na utratę cennych danych.

Specjaliści Fortinet zalecają trzyetapowe podejście do kwestii cyberbezpieczeństwa domowych sieci. Oparte jest ono na poznaniu tego, co znajduje się w sieci, podzieleniu jej na odrębne segmenty, a następnie wdrożeniu odpowiedniego zabezpieczenia. czytaj więcej

Fortinet Fortinet Security Fabric dostępne w środowiskach chmurowych

Fortinet poinformował, że rozwiązania Fortinet Security Fabric są teraz dostępne we wszystkich środowiskach chmurowych, od prywatnych i publicznych chmur typu Infrastructure-as-a-Service (IaaS) do aplikacji typu Software-as-a-Service (SaaS). czytaj więcej

Fortinet Fortinet: Pięć obszarów innowacji w dziedzinie cyberzabezpieczeń w 2017 r.

Fortinet opublikował najnowszy materiał na temat innowacji w dziedzinie cyberzabezpieczeń w 2017 roku. Michael Xie, założyciel i prezes Fortinetu wskazuje w nim na kilka obszarów, które branża cyberbezpieczeństwa obejmie w tym roku intensywną działalnością badawczo-rozwojową. Wśród nich są m.in. uczenie maszynowe metodą deep learning, wzmacnianie bezpieczeństwa kontenerów czy wsparcie przedsiębiorstw w stosowaniu sieci SD-WAN. czytaj więcej