Kaspersky Lab: Systemy informatyczne sektora energetycznego są słabo chronione
Trzeci doroczny międzynarodowy konkurs zorganizowany przez firmę Kaspersky Lab w październiku 2017 roku pokazał jak łatwo jest włamać się do korporacyjnej sieci informatycznej zarządzającej rafinerią ropy naftowej. W miarę niekontrolowanego rozwoju cyberprzestępczości rośnie liczba potencjalnych ofiar katastrofy wywołanej przez hakerów na międzynarodowym rynku węglowodorów. „Ropa i gaz to jedna z tych gałęzi przemysłu, która ma zasadnicze znaczenie dla funkcjonowania społeczeństw i gospodarek.”- powiedział Władimir Daszczenko kierownik grupy ds. kontroli podatności na zagrożenia w przemyśle w spółce Kaspersky Lab.
W konkursie stworzonym przez Kaspersky Lab zadaniem zespołów było rozwiązanie kilku zadań umożliwiających włamanie do modelu sieci korporacyjnej rafinerii. Po dostaniu się do sieci musieli ustalić protokoły komunikacyjne wewnętrznego systemu przemysłowego i nakazać zamknięcie rafinerii. Czas pracy nad złamaniem zabezpieczeń został ograniczony do zaledwie 7 godzin. Po tym czasie zespół czterech południowokoreańskich hakerów był najbliżej uzyskania dostępu do systemów kontrolujących zakład i umożliwiających całkowite jego zamknięcie. Jak oświadczył Daszczenko, aby tego dokonać zabrakło im zaledwie 15 – 20 minut. Tym razem rozgrywka nie ujawniła żadnych wcześniej nieznanych luk w zabezpieczeniach, określanych jako luki w zabezpieczeniach zero – day. Dzięki tym ćwiczeniom, znanym jako „zdobyć flagę” (z ang. capture the flag lub CTF) można przeprowadzać testy bezpieczeństwa systemów komputerowych według scenariuszy typu real – life, czyli jak najbardziej zbliżonych do rzeczywistych sytuacji. „Wszystko, co dzieje się w trakcie CTF, może się również zdarzyć w przypadku krytycznej infrastruktury i systemów przemysłowych. Zagrożenia związane z cyberbezpieczeństwem (dla rafinerii ropy naftowej- przyp.red.) są nadal wysokie, a przemysł powinien nadal podejmować odpowiednie środki bezpieczeństwa w celu lepszej ochrony infrastruktury.” – powiedział Daszczenko.
Na pokonanie wszelkich zabezpieczeń i wyłączenie rafinerii uczestnicy konkursu Kaspersky Lab mieli zaledwie 7 godzin. Jednak jak zauważają prowadzący spotkanie, prawdziwi hakerzy nie są tak ograniczeni czasowo. „Konkurs po raz kolejny pokazał, że wykorzystując słabe punkty w zabezpieczeniach sieci korporacyjnej i błędy w konfiguracji sieci, działający zdalnie sprawca może uzyskać nieautoryzowany dostęp do części systemu bezpośrednio odpowiedzialnej za działanie zakładu.” – uważa Daszczenko. Na początku roku moskiewska spółka poinformowała o wykryciu szkodliwego oprogramowania infekującego systemy kontroli zainstalowane na ponad 1000 stacjach benzynowych. Oprogramowanie to umożliwiało hakerom wyłączanie systemów paliwowych i zmianę ceny paliwa; mogło również spowodować wyciek paliw oraz inne akty sabotażu.
Powyższy przykład odnosi się do prostego ataku na wąski segment rynku sprzedaży węglowodorów, gdzieś w dalekiej i „dzikiej” Rosji. O wiele bardziej skomplikowane i o wiele groźniejsze są cyberataki na rafinerie ropy naftowej i inne rodzaje infrastruktury krytycznej. Hakerzy najpierw próbują przeniknąć do rozproszonego systemu kontroli obiektu (DCS). Na przykład poprzez zainstalowanie złośliwego oprogramowania, które zbiera informacje wywiadowcze na temat przeprowadzanych operacji, zabezpieczeń i innych poufnych informacji przejmując kontrolę nadzorczą wespół z kontrolą nad systemem zbierania danych (SCADA) – piszą Herman Wang i Katherine Dunn w artykule dla S&P Platts. Często starają się także uzyskać dostęp do niezależnego systemu weryfikacji bezpieczeństwa przedsiębiorstwa, tak aby możliwe stało się przejęcie kontroli nad automatycznymi wyłącznikami. Ten rodzaj złośliwego oprogramowania służącego do gromadzenia takich danych może przez lata ukrywać się w systemach informatycznych firm z branży energetycznej i nie być wykryty.
Następnie, gdy napastnicy zdobędą wystarczającą ilość informacji na temat słabych punktów badanego obiektu, w odpowiednim czasie przystępują do ataku. Uaktywniony wówczas zostaje specjalnie do tego przystosowany, skomplikowany kod opracowany w celu uszkodzenia instalacji zarządzających rafinerią. Do podobnego wypadku doszło w styczniu 2017 roku w dwóch zakładach petrochemicznych w Arabii Saudyjskiej. W toku śledztwa ustalono, że atak udało się powstrzymać dzięki błędowi w złośliwym oprogramowaniu.
„Większość zaobserwowanych prób włamań do systemów informatycznych polega na próbie zrozumienia systemu SCADA, tak aby atak okazał się skuteczny.” – powiedział Daniel Quiggin, pracownik Chatham House badający systemy energetyczne. Zmniejszyć ryzyko włamania pomaga tzw. szczelina powietrzna (z ang. air gap), która fizycznie izoluje od sieci niezabezpieczonych, takich jak publiczny Internet lub niezabezpieczone sieci lokalne. Jednak nikomu nie udało się jeszcze stworzyć absolutnie niezawodnej szczeliny. Kreatywni hakerzy zawsze szukają sposobów na znalezienie i wykorzystanie luki w zabezpieczeniach, dzięki którym uzyskają dostęp do zabezpieczonych sieci wewnętrznych. „Dobrze jest mieć izolację, ale nie ma czegoś takiego, co mogłoby odizolować kogoś od niebezpieczeństwa. Żyjemy w epoce, w której dotychczasowe systemy nie są już w stanie sprostać wyzwaniom, przed którymi obecnie stają. Wiemy o wielu przypadkach, gdy posiadanie szczeliny powietrznej okazało się być niewystarczające.” – powiedział Beyza Unal, starszy pracownik naukowy w Departamencie Bezpieczeństwa Międzynarodowego Chatham House. Mimo tego, że firmy kładą nacisk na ochronę systemów przed atakami hakerskimi to mają niewiele narzędzi pomocnych w wykryciu włamania.
W stosunku do firmy Kaspersky Lab wysuwano zarzuty, jakoby pomagała rosyjskiemu rządowi szpiegować swoich klientów. W USA zakazano używania jej produktów w sieciach federalnych i podobno zastanawiano się nawet nad wprowadzeniem sankcji przeciwko spółce. Firma odrzuca jednak zarzuty i twierdzi, że jest „ofiarą geopolitycznej walki” między USA i Rosją.
Platts/Roma Bojanowicz
