Ziemnicki: OZE są wystawione na ataki Rosji
Pod koniec lutego na pewien czas zablokowana została możliwość zdalnej komunikacji z setkami turbin wiatrowych należących do niemieckiego operatora. Obiekty te były podłączone do internetu poprzez infrastrukturę opartą na telekomunikacji satelitarnej. Incydent zbiegł się w czasie z rozpoczęciem rosyjskiej agresji na Ukrainę – pisze Paweł Ziemnicki, współpracownik BiznesAlert.pl.
Niemieckie przedsiębiorstwo Enercon zajmuje się produkcją turbin wiatrowych już od 1984 roku. Do dnia dzisiejszego firma dostarczyła infrastrukturę dla ponad 30 tys. elektrowni wiatrowych. W roku 2020 udział tego koncernu w niemieckim rynku związanym z energetyką wiatrową wyniósł 32,3 procent, jego udział w rynku europejskim szacowano wówczas na 12 procent, zaś w rynku globalnym na 2 procent.
Tysiące turbin wiatrowych należących do Enerconu obsługiwanych jest zdalnie poprzez internet satelitarny od operatora Viasat. Specjalne modemy umożliwiają tymże turbinom komunikację z należącym do Viasatu satelitą KA-SAT, umieszczonym na orbicie geostacjonarnej na pozycji 9°E. KA-SAT został zbudowany przez EADS Astrium na platformie satelitarnej Eurostar E3000. Jego masa startowa wynosiła ok. 6 ton. Satelita został wyniesiony w grudniu 2010 roku z kosmodromu Bajkonur, z użyciem rosyjskiej rakiety Proton-M.
Pod koniec lutego 2022 roku Enercon czasowo utracił możliwość łączenia się z niebagatelną liczbą 5800 swoich rozsianych po niemieckim terytorium turbin wiatrowych, dysponujących łącznie mocą 11 GW. Wiatraki dalej produkowały energię pracując w trybie automatycznym, jednak niemożliwy stał się wtedy monitoring ich pracy oraz zdalna kontrola nad turbinami.
Ściśle rzecz biorąc, awaria miała swój początek około godziny 5 nad ranem dnia 24 lutego 2022 roku. Działo się to zatem dokładnie wtedy, kiedy wojska Władimira Putina rozpoczynały swoją bezprecedensową napaść na Ukrainę.
Ponieważ sytuacja dotyczyła energetycznej infrastruktury krytycznej Enercon powiadomił o problemie Federalny Urząd ds. Bezpieczeństwa Teleinformatycznego (BSI). Urząd ten poinformował natomiast Federalną Agencję Sieci.
Początkowo pojawiały się przypuszczenia, że przedmiotem cyberataku mógł być sam satelita KA-SAT. Wkrótce jednak stało się jasne, że uderzenie zostało skierowane w infrastrukturę naziemną, a konkretnie w modemy służące użytkownikom końcowym do odbioru sygnału szerokopasmowego internetu satelitarnego. Analizy ekspertów wskazują, że modemy zostały unieszkodliwione poprzez fałszywą zdalną aktualizację, która została rozesłana do tychże urządzeń. W materiale, który ukazał się 3 marca 2022 roku portal zaufanatrzeciastrona.pl cytuje swojego czytelnika: „IMHO to był atak przeprowadzony z centrali operatora, który rozesłał wadliwą zdalną (OTA) aktualizację do urządzeń abonentów i uszkodził (wykasował) flash z oprogramowaniem w routerach abonenckich.” Dalej autor artykułu ostrzega: „Zdalne uszkodzenie modemów i zerwanie transmisji powoduje, że ich zdalna naprawa może okazać się całkowicie niemożliwa.”
Poza Enerconem problemów z dostępem do sieci doświadczyły inne przedsiębiorstwa, przedstawiciele administracji oraz użytkownicy prywatni z takich europejskich krajów jak Niemcy, Polska, Ukraina, Francja, Węgry, Grecja czy Włochy. Zhakowane zostały dziesiątki tysięcy modemów. W części europejskich państw komunikacji internetowej realizowanej za pośrednictwem satelity Viasatu pozbawieni zostali użytkownicy usługi Tooway. W Polsce takiego problemu mogli doświadczyć klienci bigblu. Jak podawał za przywoływaną już Zaufaną Trzecią Stroną portal spidersweb.pl: „W czwartek [24.02.2022 – PZ] pierwsza partia modemów satelitarnych usługi Tooway została zaatakowana i wykasowano firmware tych modemów. Były to modemy jednoportowe. Dnia następnego, w piątek, zaatakowano modemy bardziej rozbudowane (z Wi-Fi) i też je wyłączono.”
Jak odnotował portal biznes.wprost.pl: „firma Viasat, poinformowała, że do ataku doszło na skutek błędnego zabezpieczenia sieci VPN i uzyskanie przez atakującego dostępu do poziomu sterującego siecią. Następnie atakujący wydał polecenie wybranym urządzeniom wylogowania się z sieci i uniemożliwił im ponowne zalogowanie.”
Viasat potwierdził ponadto słuszność ustaleń przedstawionych już wcześniej przez specjalistów z SentinelOne. Ci eksperci stwierdzili, że opisywana sieciowa zapaść była najprawdopodobniej spowodowana przez nową odmianę szkodliwego rosyjskiego software’u o nazwie „AcidRain”. Oprogramowanie to zostało stworzone z myślą o zdalnym „czyszczeniu” wrażliwych na ataki modemów.
Skąd jeszcze wiadomo, że w cyberataku na naziemne urządzenia dostępowe firmy Viasat brali udział Rosjanie? Po pierwsze, wskazuje na to wspomniana już zbieżność daty i godziny tego zdarzenia z rozpoczęciem rosyjskiej inwazji na terytorium Ukrainy. Serwis internetowy Golem.de podał, że awaria najpierw pojawiła się w Ukrainie, a dopiero później rozprzestrzeniła się na inne państwa Starego Kontynentu.
Ponadto można znaleźć głosy ekspertów mówiące o tym, że usługi telekomunikacyjne operatora satelitarnego Viasat były w ostatnich latach szeroko wykorzystywane w Ukrainie. Przykładowo, terminale satelitarne od tego przedsiębiorstwa były w masowym użyciu podczas wyborów, jakie odbyły się w tym kraju w 2012 roku. Wreszcie, z zapewnianej przez Viasat łączności korzystać miała ukraińska armia, o czym napisał niemiecki magazyn Der Spiegel.
Społeczność międzynarodowa nie pozostawiła na Rosji suchej nitki w kwestii cyberataku z 24 lutego 2022 roku. Akcję potępiły m.in. władze Kanady oraz Wielkiej Brytanii. „To jasny i szokujący dowód na celowy i złośliwy atak Rosji na Ukrainę, który miał poważne konsekwencje dla zwykłych ludzi i przedsiębiorstw na Ukrainie i w całej Europie” – grzmiała w swoim oświadczeniu minister spraw zagranicznych Zjednoczonego Królestwa, Liz Truss.
Dnia 10 maja 2022 roku przedstawiciele Wielkiej Brytanii i USA stwierdzili, że atak na infrastrukturę Viasatu miał za zadanie sparaliżować ukraińskie dowództwo i jego kontrolę nad siłami zbrojnymi w czasie, gdy wojska rosyjskie nacierały w pierwszym dniu inwazji. Amerykański sekretarz stanu Antony Blinken określił agresywne postępowanie Rosji w cyberprzestrzeni jako nieodpowiedzialne i destrukcyjne. Ponadto Blinken zapewnił, że Stany Zjednoczone wspierają Ukrainę w identyfikowaniu cyberatakowi usuwaniu ich skutków oraz dostarczają rządowi, dostawcom podstawowych usług i operatorom infrastruktury krytycznej telefony satelitarne, a także terminale do przesyłu danych.
W marcu 2022 Viasat zapewnił, że lutowy incydent nie dotknął amerykańskich rządowych odbiorców usług operatora a dane jego klientów nie były wystawione na niebezpieczeństwo. Rdzeń infrastruktury sieciowej Viasatu pozostał nienaruszony. Jednocześnie firma przyznała, że lutowy atak cybernetyczny doprowadził do uszkodzenia dziesiątek tysięcy terminali, których nie będzie już można naprawić. Przedsiębiorstwo komunikuje, że od czasu incydentu wysłało już swoim klientom blisko 30 tys. nowych routerów, by mogli się oni ponownie cieszyć połączeniem z internetem.
Te dziesiątki tysięcy modemów, które uległy awarii, znajdowały się rzecz jasna w Europie. Stąd Unia Europejska przyjęła bardzo klarowne stanowisko w sprawie wydarzeń z 24 lutego. Władze wspólnoty pierwszy raz bardzo jasno przypisały cyberatak konkretnemu państwu – Federacji Rosyjskiej. Było to możliwe dzięki pozyskanym informacjom wywiadowczym. Stanowisko UE przedstawił 10 maja Josep Borrell, szef unijnej dyplomacji. W oświadczeniu Wysokiego Komisarza czytamy m.in.: „Cyberatak miał miejsce na godzinę przed niczym niesprowokowaną i nieuzasadnioną inwazją Rosji na Ukrainę w dniu 24 lutego 2022 roku, ułatwiając w ten sposób agresję wojskową. Cyberatak ten miał istotny wpływ i spowodował masowe przerwy oraz zakłócenia w komunikacji między kilkoma organami publicznymi, przedsiębiorstwami i użytkownikami na Ukrainie, a także dotknął kilka państw członkowskich UE.”
Władze UE jasno wyartykułowały również swoje obawy w tym zakresie, iż „cyberataki na Ukrainę, w tym na infrastrukturę krytyczną, mogą rozprzestrzenić się na inne kraje i spowodować skutki systemowe, zagrażając bezpieczeństwu obywateli Europy.” W oświadczeniu padło też zapewnienie, że Unia zamierza nadal wspierać Ukrainę na wielu płaszczyznach oraz skierowane do Moskwy wezwanie o jak najszybsze zakończenie wojny i położenie kresu cierpieniom ludności. Reprezentując 27 państw wspólnoty Borrell stwierdził ponadto, że „ten niedopuszczalny cyberatak jest kolejnym przykładem ciągłego nieodpowiedzialnego zachowania Rosji w cyberprzestrzeni, będącego również integralną częścią nielegalnej i nieuzasadnionej inwazji tego kraju na Ukrainę.”
Jeszcze dalej posunęła się Estonia, wskazując jako podmiot winny lutowego cyberataku sławne GRU, czyli Główny Zarząd Wywiadowczy Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej. Minister spraw zagranicznych tego kraju, Eva-Maria Liimets, powiedziała: „Te cyberataki są sprzeczne z prawem międzynarodowym i dlatego jednoznacznie je potępiamy.Moment tego ataku – 24 lutego – kiedy to rozpoczął się zakrojony na szeroką skalę atak wojskowy na Ukrainę, jest znaczący i po raz kolejny pokazuje, że cyberataki są integralną częścią tego, jak Rosja prowadzi wojnę.” Również w Polsce eksperci przypisują odpowiedzialność za opisywane uszkodzenie infrastruktury telekomunikacyjnej rosyjskim służbom.
Jak informuje portal dorzeczy.pl, instytucja odpowiedzialna w ukraińskiej administracji za cyberbezpieczeństwo już wcześniej deklarowała, że „prowadzi wojnę zarówno w sferze cyfrowej, jak i w terenie, z ciągłymi atakami cybernetycznymi na swoje sieci.” Natomiast Moskwa tradycyjnie zaprzecza, jakoby Rosjanie prowadzili jakiekolwiek ofensywne działania w cyberprzestrzeni.
Dla Polski, Europy i całego Sojuszu Północnoatlantyckiego przekaz jest jasny. Rosja wciąż jest krajem nieprzewidywalnym i niebezpiecznym. Swoich rzeczywistych lub wyimaginowanych przeciwników może atakować w bardzo wielu domenach – w tym na najnowszych teatrach działań wojennych, czyli w przestrzeni kosmicznej oraz cyberprzestrzeni.
Ataki na dwóch wyżej wymienionych współczesnych polach wpisują się w strategię wojny hybrydowej. Uderzenie w Viasat pokazuje, że skuteczny cios może jednocześnie afektować wiele systemów, również tych tworzących infrastrukturę krytyczną, np. w dziedzinie łączności i energetyki. Po to, by chronić się przed tego typu rosyjskimi działaniami, świat zachodu powinien przede wszystkim zachowywać jedność i solidarność. Kraje UE oraz NATO powinny stosować dobrej jakości zabezpieczenia swojej infrastruktury, sieci i kluczowych systemów oraz zapewniać dla nich backup i dywersyfikować źródła zasobów.Taką politykę należy stosować również do takich usług i dóbr jak dostęp do transferu danych czy sygnałów z konstelacji satelitów globalnego pozycjonowania.
Ziemnicki: Jak uniezależnić energetykę od sygnałów z kosmosu
