W obliczu cyberataku

W sieci lokalnego, zachodnio-ukraińskiego dostawcy energii – firmy Prykarpattyaoblenergo – 23 grudnia 2015 r., około godziny 13:00, wystąpiły przerwy w dostawach. Efektem było trwające około sześciu godzin odcięcie zasilania dla 80 000 odbiorców. Jednocześnie, z powodu awarii technicznych, klientom nie udawało się zgłosić zaistniałego problemu w call-center dystrybutora energii. Prawdopodobnie w tym samym czasie zostały zaatakowane inne regionalne spółki energetyczne na Ukrainie.

Analiza uzyskanych informacji potwierdziła, że bezpośrednią przyczyną przerw w dostawach prądu były zaawansowane cyberataki, przeprowadzone najprawdopodobniej przy silnym wsparciu finansowym. Ujawnione do tej pory dane wskazują na to, że napastnicy użyli co najmniej jednego rodzaju złośliwego oprogramowania (malware – z ang. malicious software) do uszkodzenia serwerów sieci OT, tj. sieci sterowania przemysłowego iumożliwili jego rozprzestrzenianie wewnątrz zaatakowanej sieci. Najbardziej prawdopodobne jest, że w celu uruchomienia ataku sprawcy połączyli się on-line z siecią OT atakowanego przedsiębiorstwa. Pozwoliło im to wybrać dokładny czas dla wykonania sekwencji działań, które finalnie spowodowały przerwy w zasilaniu.

Penetracja sieci

Przeprowadzenie jednoczesnego ataku na kilka regionalnych energetycznych firm dystrybucyjnych było dokładnie skoordynowane, aby zwiększyć prawdopodobieństwo osiągnięcia przez atakujących zamierzonego celu. Raporty w mediach wskazują konkretnych dostawców energii, którzy zostali zaatakowani, w tym Prykarpattyaoblenergo i Kyivoblenergo. Dokładne kalendarium ataku i sekwencja zdarzeń są jednak nadal niejasne i wciąż analizowane. Firma Kyivoblenergo upubliczniła klientom informację, według której w wyniku ataku doszło do odłączenia siedmiu podstacji 110 kV i 23 podstacji 35 kV, co wywołało zanik zasilania, który dotknął 80 000 odbiorców energii. Wydaje się, że główny składnik malware’u został osadzony w oprogramowaniu urządzeń HMI stosowanych przez przedsiębiorstwa energetyczne. Gdy operatorzy aktualizowali ich oprogramowanie, zostały pobrane zainfekowane pliki, które zawierały złośliwe oprogramowanie pochodzące od atakującego. Kiedy malware został już pobrany, napastnicy uzyskali trwały dostęp do sieci atakowanych przedsiębiorstw.

Wewnątrz sieci OT

Po infiltracji sieci za pomocą urządzeń HMI program atakujący zaczął rozprzestrzeniać się w sieci, a jego celem były serwery odpowiedzialne za kontrolę urządzeń stacyjnych i raportujące ich stan. Umożliwiło to atakującym – aż do zakończenia tej fazy realizacji ataku – ukrycie dokładnego stanu sieci dystrybucyjnej oraz usunięcie danych, które mogłyby posłużyć jako dowody sądowe. Oba działania wydłużyły czas reakcji spółek dystrybucyjnych na cyberatak. Co więcej, skutki tych działań wciąż utrudniają badaczom dokładne odtworzenie przebiegu ataku.

Realizacja ataku

Przeprowadzone analizy i zebrane dowody wskazują, że podczas ataku napastnicy wykonywali działania bezpośrednio z zaatakowanej sieci, prawdopodobnie za pośrednictwem portu zdalnego dostępu. Wiadomo, że atakujący użyli zmodyfikowanej wersji oprogramowania zdalnego dostępu, które zostało zainstalowane wcześniej w sieci atakowanej firmy. Po dostaniu się do sieci mogli wysłać odpowiednie polecenia do stacyjnych urządzeń wykonawczych i – koordynując te działania – wywołać zamierzone skutki.

Analiza ataku ujawnia, że awaria była wynikiem użycia złośliwego oprogramowania składającego się co najmniej z dwóch elementów. Pierwszy z nich – KillDisk – był prawdopodobnie użyty do usunięcia niektórych danych z serwerów. Ten program prawdopodobnie nie spowodował bezpośrednio odcięcia dopływu energii. Atakujący podczas działań brali pod uwagę czas, miejsce i oddziaływanie skutków awarii, co nie jest typowe dla użycia programu KillDisk. Najprawdopodobniej celem zastosowania KillDisk było usunięcie z serwerów potencjalnych danych dowodowych i opóźnienie przywracania usług przez usuwanie danych z serwerów SCADA po tym, gdy awaria została już spowodowana. Inny szkodliwy program, wykorzystany przez atakujących i związany z cyberatakami, to BlackEnergy. On z kolei został użyty, aby pobrać i aktywować oprogramowanie KillDisk. Możliwe, że program Black-Energy również był wykorzystywany do zbierania informacji podczas penetracji sieci lub do bezpośredniego wykonania ataku. Kolejnym oprogramowaniem, które zastosowali atakujący był SSH backdoor. Prawdopodobnie był on użyty do komunikacji między serwerami i urządzeniami wewnątrz sieci a serwerami atakujących w czasie, gdy były one podłączone do zaatakowanej sieci. W czasie trwania blackoutu, czyli „właściwej” fazy odcięcia energii, atakujący użyli polecenia „denial of view”, za pomocą którego odcięli dyspozytorów systemu od podglądu stanu urządzeń, co spowodowało przeciążenie call center w centrum obsługi klienta. Wskutek tego pracownicy call center nie mogli przyjmować zgłoszeń o przerwie w zasilaniu.

Wnioski

Sprawa ukraińskiego blackoutu rzuca światło na kilka zagadnień dotyczących cyberataków na przemysłowe systemy SCADA.

1. Osiągnięcie tak znaczącego efektu ataku wymagało dobrej koordynacji. Aby spowodować odcięcie dostaw energii na tak dużą skalę, hakerzy musieli dostać się do kilku sieci, i to w różnych organizacjach. Ponadto musieli koordynować wydawanie poleceń do stacyjnych urządzeń wykonawczych.
2. Firmy najsłabiej chronione są najbardziej podatne na atak. Istnieje wiele sposobów, by wywołać przestój w dostawach energii. Zakładając, że celem atakujących było po prostu spowodowanie odczuwalnej na dużą skalę przerwy w dostawach energii na Ukrainie, to zgodnie z logiką powinni oni atakować cele najbardziej narażone i najsłabiej chronione. Faktycznie stwierdzono, że podobne złośliwe działania były prowadzone także wobec innych ukraińskich firm, jednak były one lepiej zabezpieczone i na czas udało im się zmniejszyć narażenie i nie dopuścić do ataku.
3. Można mówić o stosowaniu łańcuchów dostaw jako wektorów ataku. Wydaje się, że napastnicy manipulowali plikami urządzeń HMI i gdy operator urządzenia pobierał plik aktualizacji oprogramowania urządzenia HMI ze strony internetowej dostawcy, mógł pobrać plik zainfekowany szkodliwym oprogramowaniem.
4. Charakterystyczna jest próba ukrywania uszkodzeń. Powody tego działania wpisują się również w przypadek ukraiński: wydłużenie czasu osłabienia ochrony podmiotu atakowanego i komplikacja prac analityczno-badawczych po ataku.
5. Mamy do czynienia z wieloma anomaliami zachowania się sieci. Jak podano, napastnicy wykazali zdolność do przemieszczania się w sieci między podstacjami energetycznymi, wysyłania polecenia do urządzeń stacyjnych, zmiany konfiguracji serwerów i otwarcia kanału komunikacyjnego z zewnątrz sieci. Mechanizmy bezpieczeństwa, takie jak zapory SCADA DPI lub systemy SCADA IDS, mogłyby wykryć niektóre z działań wtym łańcuchu zdarzeń.
6. Zapobieganie cyberatakom na systemy SCADA jest naprawdę możliwe. Gdy atakowane firmy dowiadywały sią o prowadzeniu wobec nich szkodliwych operacji, inicjowano wewnętrzne scenariusze działań osłabiających atak. Koncentrowały się one głównie na przejściu do ręcznego sterowania w podstacjach. Krok ten okazał się skuteczny, ale niestety był zbyt późno podejmowany – dopiero po wykryciu ataku, gdy odcięcie dostaw energii miało już miejsce. Gdyby atak został wykryty w pierwszej fazie, dałoby to większe szanse na zapobieżenie przestojom. Wczesne rozpoznanie jest więc kluczem do całkowitego udaremnienia ataków cybernetycznych. Atakujący potrzebuje relatywnie dużo czasu do przygotowania i przeprowadzenia ataku, co stwarza znaczące i zauważalne zaburzenia zachowania się sieci.

Ukraińskiemu blackoutowi można było zapobiec, i to w wielu punktach łańcucha zdarzeń składających się na strukturę ataku (tzw. Kill-Chain). W fazie penetracji sieci skuteczna segregacja sieci OT pozwoliłaby na wykrycie podejmowanych prób przenikania do sieci przez osoby atakujące. Ten rodzaj wewnętrznej segregacji sieci informatycznej przedsiębiorstwa był już wcześniej (w sierpniu 2014 r.) sugerowany przez ICS-CERT. Wszystko, co było konieczne, to implementacja firewalla rozdzielającego lokalizacje (stacje energetyczne). Radiflow Secure Gateway 3180 został zaprojektowany właśnie w tym celu. Dzięki dużym możliwościom VPN i uwierzytelnianiu, a także natywnemu Deep Packet Inspection (DPI) ten przemysłowy firewall jest najodpowiedniejszym środkiem skutecznej segregacji sieci. Ponadto jest zdolny do samodzielnego uczenia się zasad DPI, co ułatwia wdrożenie wielu urządzeń Secure Gateway przy minimalnym nakładzie pracy włożonej w konfigurację. Dowodzi to, że podczas segregacji sieci taki firewall jest niezwykle ważnym środkiem, gdyż umożliwia wykrywanie i zapobieganie kolejnym fazom ataku. W przypadku blackoutu na Ukrainie, nawet bez takich urządzeń, ukraińscy operatorzy nadal mieli możliwość wykrycia ataku.

W obszarze ruchu poprzecznego Radiflow Industrial IDS zapewnia najwyższy poziom ochrony. Korzystając z Network Visibility Package, ukraińscy operatorzy sieci mogliby zobaczyć, że hakerzy otworzyli połączenia SSH między różnymi stacjami w sieci. Ponadto możliwe byłoby wykrycie kanału komunikacji z serwerami sterowania należącymi do atakujących.

Innym ważnym pakietem oprogramowania zawartym w IDS Radiflow jest pakiet Cyber Attack – silnik wykorzystujący algorytm detekcji sygnatur malware, umożliwiający wykrywanie znanego złośliwego oprogramowania komunikującego się wewnątrz sieci. Wiadomo, że na Ukrainie napastnicy wykorzystali malware Black-Energy, jak również znane warianty SSH backdoor. Oba malware’y mają znane sygnatury i mogły zostać łatwo wykryte. W fazie ataku operatorzy sieci mogli dokładnie widzieć polecenia wysyłane przez atakujących.

W następstwie cyberataku na Ukrainie powstał duży problem z zebraniem dowodów ze względu na brak danych. Korzystając z Radiflow Industrial IDS, operatorzy mogli przeanalizować ruch, który spowodował awarię iśledzić wszystkie działania atakujących. Stanowiłoby to doskonały materiał kryminalistyczny, zaś etap łagodzenia skutków ataku byłby znacznie łatwiejszy i krótszy.

TEKNISKA POLSKA PRZEMYSŁOWE
SYSTEMY TRANSMISJI DANYCH Sp. z o.o.
Dęborzyce 16, 62-045 Pniewy
ul. Łabędzka 9–9a, 44-121 Gliwice
tel. 32 33 111 06, fax 32 33 111 09
e-mail: tekniska@tekniska.pl
www.tekniska.pl

źródło: Automatyka 11/2016