Przemysłowe systemy sterujące (ang. Industrial Control Systems ― ICS) kontrolują i monitorują procesy będące podstawą funkcjonowania nowoczesnego społeczeństwa. Są to m.in. przesył energii elektrycznej, transport ropy i gazu za pomocą rurociągów i gazociągów, dystrybucja wody czy sterowanie światłami drogowymi.
- Brak prądu lub wody w kranie w wyniku ataku hakerskiego? To coraz bardziej realny scenariusz. Cyberprzestępcy coraz częściej podejmują ataki na systemy sterujące krytyczną infrastrukturą – informuje Ruchna Nigam, analityk ds. bezpieczeństwa FortiGuard Labs, Fortinet.
W poprzednim roku miała miejsce pierwsza spowodowana przez hakera przerwa w dostawie energii elektrycznej na Ukrainie. W dniu 23 grudnia 2015 roku w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej wynikająca z niesprawności 57 podstacji zasilania. Jak informuje ekspert firmy Fortinet z początku za przyczynę uznano „zakłócenia” w systemie monitorowania spowodowane przez jedną z elektrowni. Później jednak stwierdzono, że chodzi o atak hakerów na systemy ICS tych elektrowni.
4 stycznia 2016 r. przyczynę awarii potwierdził ukraiński oddział organizacji CERT (CERT-UA). Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego.
Ten zaawansowany, dobrze zaplanowany atak składał się z 3 etapów:
1. Zainfekowania systemów metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro.
2. Przejęcia systemu i uniemożliwienia jego odzyskania poprzez usunięcie plików systemowych z systemów sterujących.
3. Ataków DDoS (ang. Distributed Denial of Service ― rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta różnych elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.
- Jednym z największych problemów dla firm, które chcą zabezpieczyć swoje systemy ICS, jest wysoki stopień zaawansowania współczesnych ataków. Istnieją też dodatkowe utrudnienia, takie jak branżowy charakter systemów, regulacji i praktyk. Systemy ISC w poszczególnych firmach pochodzą najczęściej od różnych dostawców i są wyposażone we własne systemy operacyjne, aplikacje oraz protokoły (np. GE, Rockwell, DNP3 lub Modbus). Z tego powodu zabezpieczenia oparte na hoście, przeznaczone dla systemów informatycznych przedsiębiorstw, w zasadzie nie są dostępne dla ICS, a wiele zabezpieczeń sieci opracowanych z myślą o powszechnie używanych aplikacjach i protokołach raczej nie spełni swojej funkcji w systemach ICS - zauważa Ruchna Nigam z Fortinet.
Dobre oprogramowanie antywirusowe ostrzegające o niebezpiecznych załącznikach może stanowić dodatkową warstwę ochronną, która pomoże w walce z phishingiem, czyli wyłudzaniem danych wrażliwych za pomocą wiadomości e-mail. Praktycznie we wszystkich atakach zarówno na systemy ICS, jak i środowiska informatyczne przedsiębiorstw zastosowano phishing ukierunkowany (tzw. spear-phishing).
- Na przykład jeden z ataków zgłoszonych do zespołu ICS-CERT polegał na tym, że cyberprzestępcy utworzyli konto na portalu społecznościowym, z którego następnie wysyłali wiadomości, podszywając się pod osoby szukające pracy. W ten sposób dotarli do pracowników przedsiębiorstwa zarządzającego infrastrukturą o znaczeniu krytycznym, od których wyłudzili takie dane, jak nazwisko dyrektora ds. informatycznych oraz wersje używanego w firmie oprogramowania. Pracownicy ci otrzymali e-mail z CV domniemanego kandydata załączonym jako plik „resume.rar”. Załącznik zawierał szkodliwe oprogramowanie, które zainfekowało systemy pracowników. Na szczęście udało się zapobiec jego rozprzestrzenieniu na systemy kontrolne - zaznacza ekspert Fortinet.