Potyczki w cyberprzestrzeni to nie tylko wojna informacyjna. Fake newsy i inne działania dezinformacyjne są wykorzystywane niemal codziennie przez organizacje opłacane przez rządy wielu państw. Czasami na dezinformacji się jednak nie kończy, a operacje w cyberprzestrzeni przybierają znacznie bardziej dewastacyjną formę.
- BlackEnergy3 w grudniu 2015 r. wyłącza część ukraińskiej sieci energetycznej, a 230 000 ludzi traci dostęp do energii eklektycznej.
- Pod koniec 2015 roku firma ESET raportuje ataki na polski sektor energetyczny przy użyciu GrayEnergy — wariantu BlackEnergy. [1]
- Industroyer/CrashOverride w grudniu 2016 r. odcina część ukraińskiej sieci energetycznej. W rezultacie 20% mieszkańców Kijowa straci w domach dostęp do elektryczności. Jest to pierwsze znane złośliwe oprogramowanie zaprojektowane specjalnie do zakłócania pracy sieci elektroenergetycznych
- NotPetya niszczycielski atak cybernetyczny z czerwca 2017 r. Na ukraiński sektor finansowy, energetyczny i rządowy.
- SolarWinds.Orion.Core.BusinessLayer.dll — zainfekowany plik w oprogramowaniu firmy SolarWinds dzięki któremu w 2020 roku Hakerzy powiązani z Rosją zyskali dostęp do sieci kilkudziesięciu korporacji i agencji.
W wyniku cyberataku związanego z oprogramowaniem SolarWinds, zainfekowano sieci wielu agencji rządowych i firm technologicznych. Hakerzy dostali się też do kilkunastu systemów obsługujących infrastrukturę krytyczną w branży energetycznej, naftowej i produkcyjnej. Wszystkie z nich korzystały z usług firmy SolarWinds, która została wykorzystana przez hakerów jako “punkt dystrybucji” złośliwego oprogramowania. W Polsce programów SolarWinds używało chociażby Ministerstwo Spraw Wewnętrznych [2.] Pomimo, że od ujawnienia informacji na temat włamania do systemów minęło już ponad miesiąc, do dziś nie wiemy co dokładnie udało się osiągnąć hakerom. Jak dużo informacji udało się im ukraść i czy przypadkiem nie pozostawili po sobie żadnych niespodzianek w postaci backdoorów (ukrytych furtek którymi mogliby łatwo dostać się ponownie do systemów), bądź bomb logicznych (czekających na automatyczne uruchomienie niebezpiecznych sekwencji) w systemach infrastruktury krytycznej. I choć problem atrybucji w obszarze cyberbezpieczeństwa stanowi ogromne wyzwania, to jeśli ufać prywatnym firmom oraz agencjom rządowym prowadzącym śledztwa w tej sprawie wiemy kto za tym atakiem stoi. Nie pierwszy raz zresztą Hakerzy pracujący na zlecenie rosyjskiego rządu odpowiedzialni są za ataki na systemy energetyczne innych państw.
W 2015 roku rosyjscy Hakerzy włamali się do kilku ukraińskich elektrowni wyłączając, w samym środku mroźnej zimy, prąd około 230 000 odbiorcom. Atakujący uzyskali zdalny dostęp do centrów sterowania trzech ukraińskich przedsiębiorstw zajmujących się dystrybucją energii elektrycznej. Przejęli kontrolę nad systemami SCADA obiektów energetycznych uruchomili wyłączniki w około 30 podstacjach dystrybucyjnych, głównie w stolicy Ukrainy — Kijowie i zachodnim regionie Iwano-Frankowska. Wszystko to na oczach zdziwionych operatorów, którzy przyglądali się kursorowy myszy na ekranie pulpitu sterującego. Kursor poruszał się samoczynnie, uruchomiając odpowiednie wirtualne przyciski które zamykały odpowiedzialne za zasilanie obwody. Rządowe agencje wywiadowcze i firmy zajmujące się cyberbezpieczeństwem przypisały odpowiedzialność za atak rosyjskim grupom hakerskim, choć nie udowodniono jednoznacznie ich powiązania z rządem rosyjskim.
Mniej więcej w tym samym czasie inny wariant, tego samego złośliwego oprogramowania został wykryty w sieciach polskich firm związanych z sektorem energetycznym. W przypadku Polski, udało się uniknąć awarii. Atakującym nie udało się uzyskać dostępu do systemów ICS (przemysłowych systemów sterowania). Źródłem infekcji był phishing, atakujący próbowali dostać się do sieci i systemów polskich firm wysyłając dokumenty uzbrojone w złośliwe makra. To bardzo powszechna metoda dystrybucji wirusów. Jednak na tym “zwyczajność” GreyEnergy się kończy. Kod złośliwego oprogramowania jest unikalny, jest dobrze napisany i sprytnie złożony oraz uzbrojony w funkcje ukrywania się przed ówczesnym oprogramowaniem antywirusowym. Makro po uruchomieniu przez nieświadomego użytkownika pobiera obfuskowany dropper (zaszyfrowany wyzwalacz), który po spełnieniu kilku zależności deszyfruje i uruchamia kod binarny wirusa. Dropper tworzy też odpowiednie ukryte skróty w autostarcie systemu, zapewniając sobie trwałe zagnieżdżenie w systemie. Dokładne sprawozdanie z metody działania GreyEnergy przygotowała firma ESET oraz NOZOMI [4]. Polskie firmy dotknięte atakiem nigdy nie ujawniły informacji na temat skuteczności oraz ewentualnych szkód poczynionych przez atakujących. Analitycy zauważali bardzo dużo podobieństw między GreyEnergy a BlackEnergy, stwierdzając że ten pierwszy jest po prostu nowszym wariantem BlackEnergy. Z tego też powodu uważa się, że tak jak w przypadku BlackEnergy, autorami złośliwego kodu są Hakerzy pochodzący z Rosji.
W 2016 roku Rosjanie powtórzyli operację na Ukrainie. Tym razem przerwano zasilanie na około godzinę, uderzyli także w Państwową Administrację Transportu Kolejowego, która zarządza ukraińskim systemem kolei. Atak na sektor energetyczny był o tyle nowatorski, że wykorzystywał oprogramowanie specjalnie przygotowane do infekowania i niszczenia systemów ICS. W przypadku ataku z 2015 posługiwano się oprogramowaniem pozwalającym na przejęcie kontroli nad systemem operacyjnym komputera sterującego, później atakujący uzyskując dostęp do wyświetlanego na ekranie komputera mogli uruchomić wyłączniki “ręcznie”. Industroyer — wirus użyty w 2016 roku był w stanie bezpośrednio sterować przełącznikami podstacji elektrycznej i wyłącznikami automatycznymi. Wykorzystywał protokoły komunikacji przemysłowej używane na całym świecie w infrastrukturze zasilania, systemach sterowania transportem i innych systemach infrastruktury krytycznej (wodociągi i gazociagi). Potencjalne skutki jego użycia mogą obejmować zwykłe wyłączenie dystrybucji mocy, kaskadowe awarie i poważniejsze uszkodzenia sprzętu [5]. Operatorom na Ukrainie udało się szybko zażegnać kryzys. Analitycy firm związanych z cyberbezpieczeństwem, badając próbki złośliwego oprogramowania, odnaleźli funkcjonalność, która pozwalała na trwałe zniszczenie przełączników w podstacjach sieci elektrycznej. Do tej pory nie wiadomo, czy atakujący popełnili błąd i funkcjonalność ta nie została uruchomiona, czy też zdecydowali się celowo oszczędzić mieszkańców Kijowa jednocześnie pokazując światu swoje możliwości.
Następstwa cyberataku na sektor energetyczny mogą być ogromne. Dlatego też niebezpieczeństwo ich materializacji nie może być marginalizowane. Przykład ataku Industroyer jest dość przerażający, tym bardziej że wirus używa protokołów systemów ICT w dokładnie taki sposób, w jaki zostały zaprojektowane. Problem w tym, że protokoły i wciąż powszechnie używane urządzenia SCADA (nadzorujące przebieg procesu technologicznego lub produkcyjnego) zostały zaprojektowane dziesiątki lat temu, w latach gdy nikt nie myślał o rozwiązaniach IoT a systemy przemysłowe miały być trwale odizolowane od świata zewnętrznego. Stare systemy i protokoły komunikacyjne nie zostały zaprojektowane z myślą o bezpieczeństwie a niestety wciąż używane są w wielu miejscach na całym świecie.
[1] https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf
[2] https://www.gov.pl/web/mswia/wsparcie-dla-systemu-orion-solarwinds-na-okres-36-miesiecy
[4] https://www.nozominetworks.com/blog/analyzing-the-greyenergy-malware-from-maldoc-to-backdoor/
[5] https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf
Zdjęcia: domena publiczna
