Wraz z rozwojem przemysłowego Internetu rzeczy (IIoT) oraz związanym z tym coraz częstszym łączeniem technologii operacyjnych z informacyjnymi, infrastruktura fizyczna stała się podatna na przeprowadzane zdalnie cyberataki. Jednym z pierwszych złośliwych narzędzi, które zostały wykorzystane przeciwko niej, był robak Stuxnet, odkryty dziesięć lat temu – w czerwcu 2010 roku. Korzystając z tej okazji analitycy z FortiGuard Labs przypominają historię najważniejszych ataków na systemy przemysłowe.
Stuxnet pojawił się na czołówkach gazet, ponieważ atakował przemysłowe systemy sterujące SCADA, a konkretnie programowalne sterowniki logiczne (PLC), które umożliwiają automatyzację procesów elektromechanicznych. Jego kod był wyjątkowo skomplikowany i miał rozmiar ponad 500 kilobajtów, co jest unikalne wśród złośliwych narzędzi. Zdołał przedostawać się do urządzeń fizycznych i systemu Windows, a następnie kilkukrotnie replikować w celu poszukiwania oprogramowania, które docelowo miał zaatakować.
Od czasu odkrycia Stuxnetu na całym świecie miało miejsce wiele innych przypadków ataków wymierzonych w systemy technologii operacyjnych. Według raportu o stanie bezpieczeństwa OT, aż 74% przedsiębiorstw doświadczyło w ciągu ostatnich 12 miesięcy naruszenia ochrony systemów przemysłowych.
Przegląd najważniejszych cyberataków na systemy przemysłowe
Obserwując najważniejsze cyberataki na systemy przemysłowe w ciągu ostatniej dekady, łatwo zauważyć, jak rozwinęły się umiejętności i możliwości techniczne cyberprzestępców. Znacznie bardziej niepokojąca jest jednak ich gotowość do wyrządzania szkód nie tylko w środowiskach cyfrowych, ale i w infrastrukturze fizycznej. Może mieć to wpływ na bezpieczeństwo publiczne oraz ludzkie zdrowie i życie.
Stuxnet jest jednym z pierwszych przykładów, które pokazały światu, jaki wpływ mogą mieć cyberataki na infrastrukturę fizyczną. Wzrost liczby nowych zagrożeń radykalnie zmienił sposób funkcjonowania przemysłowych systemów ICS/SCADA. Specjaliści z FortiGuard Labs przeanalizowali niektóre z najważniejszych cyberataków na systemy przemysłowe, które miały miejsce w ciągu ostatniej dekady.
2011: Duqu
Złośliwe oprogramowanie, odkryte przez węgierskich analityków, które pod względem struktury bardzo przypominało Stuxnet. Duqu został zaprojektowany w celu kradzieży informacji (tzw. infostealer) poprzez ukrycie transmisji danych w ruchu HTTP i przesyłanie złośliwych plików w formacie jpg. Odkrycie tego narzędzia unaoczniło jak w procesie ataku ważny jest etap rekonesansu, w trakcie którego złośliwy kod wykrada informacje. Bardzo często bowiem jest to pierwszy krok z zaplanowanej wcześniej serii kolejnych etapów ataku.
2013: Havex
Havex jest złośliwym oprogramowaniem typu Remote Access Trojan (RAT), które zostało odkryte w 2013 r. Stworzone przez grupę przestępczą znaną jako Grizzly Steppe, Havex atakował systemy kontroli przemysłowej (ICS) i komunikował się z serwerem nadzorującym pracę złośliwego kodu (Command&Control, C2), z którego dostarczane były kolejne moduły zawierające niebezpieczne narzędzia.
Kod tego narzędzia, specjalnie dostosowany do atakowania systemów ICS, gromadził dane przesyłane przez różne serwery z wykorzystaniem standardu otwartej platformy komunikacyjnej (Open Platform Communication, OPC), w tym takie informacje jak identyfikator klas CLSID, nazwę serwera, identyfikator programu, wersję OPC, informacje o producencie atakowanej platformy, stan pracy, liczbę grup i przepustowość serwera, a także był w stanie wyliczyć znaczniki OPC. Komunikując się z infrastrukturą C2, Havex otrzymywał instrukcje, które dawały możliwości nieznane dotąd złośliwemu oprogramowaniu.
2015: BlackEnergy
Odkryte w 2015 r. oprogramowanie BlackEnergy wykorzystywało makra w dokumentach Microsoft Excel. Złośliwe narzędzie dostawało się do sieci za pośrednictwem wiadomości e-mail typu spear-phishing, wysyłanych do konkretnych, starannie wybranych jako cel, pracowników. Kampania ta udowodniła, że cyberprzestępcy mogą manipulować infrastrukturą krytyczną na dużą skalę.
2017: TRITON
Złośliwe oprogramowanie, które jest ukierunkowane szczególnie na systemy zapewniające ochronę rozwiązań przemysłowych (Safety Instrumented System, SIS). Triton modyfikuje oprogramowanie układowe w pamięci, aby dodać do niego złośliwe funkcje. Pozwalało to przestępcom odczytać lub zmodyfikować zawartość pamięci i zaimplementować niestandardowy kod wraz z dodatkowymi instrukcjami, które miały na celu wyłączenie, spowolnienie pracy lub zmodyfikowanie rozwiązań umożliwiających bezpieczne wstrzymanie pracy procesu przemysłowego. Triton to pierwsze znane złośliwe oprogramowanie zaprojektowane specjalnie do atakowania systemów bezpieczeństwa przemysłowego, chroniących ludzkie życie.
W 2020 roku konieczna szeroka świadomość ryzyka
Bezpieczeństwo systemów ICS/SCADA powinno być traktowane priorytetowo ze względu na możliwe konsekwencje takiego ataku. Bardzo ważne również jest, aby reguły polityki bezpieczeństwa w przedsiębiorstwach były zgodne z obowiązującymi przepisami prawa.
Ryzyko związane z systemami przemysłowymi jest coraz szerzej znane i coraz bardziej priorytetowo traktowane. Istnieją instytucje rządowe, jak ICS-CERT w USA czy Centrum Ochrony Infrastruktury Narodowej (CPNI) w Wielkiej Brytanii, które publikują porady i wytyczne dotyczące najlepszych praktyk w zakresie bezpieczeństwa systemów ICS.
Odpowiednie normy zostały również opracowane przez Międzynarodowe Towarzystwo Automatyki (ISA). Natomiast organizacja non-profit ICS-ISAC podejmuje działania edukacyjne dotyczące świadomości zagrożeń i najlepszych praktyk, aby pomóc obiektom rozwijać świadomość dotyczącą sytuacji, w których może być zagrożone bezpieczeństwo lokalne, narodowe i międzynarodowe.
