23 grudnia ktoś wyłączył prąd w kilkuset tysiącach domów na zachodzie Ukrainy. Szybko pojawiły się plotki wskazujące na atak hakerów, lub, jak wolą media i niektórzy analitycy, cyberatak cyberarmii. Spróbujmy przyjrzeć się tej sprawie.
Osoby ostrzegające świat przed cyberwojnami czy też innymi cyberkonfliktami mają, oprócz katastroficznych wizji, poważny problem z odpowiedzią na pytanie o historyczne ataki. Oprócz dobrze udokumentowanego Stuxnetu (gdzie nie ma wątpliwości, że ktoś stworzył elektroniczną broń, która zadała straty wrogowi), w miarę udokumentowane są ataki na sieci w Estonii (choć to tylko – lub aż – DDoS). Do listy, trochę ją naciągając, można także dodać rzekomo skuteczny atak na wielki piec jednej z niemieckich hut (choć brak upublicznionych szczegółów) i saudyjską firmę naftową oraz, naciągając dużo bardziej, atak na rurociąg w Turcji (tu dowodów brak, są tylko spekulacje).
W tej sytuacji wyłączenie prądu na Ukrainie można obwołać drugim poważnym atakiem na infrastrukturę krytyczną z użyciem technologii IT. Wokół tej sprawy narosło kilka mitów i plotek, zatem spróbujmy uporządkować wiedzę.
Co wydarzyło się w grudniu
23 grudnia w domach w obwodzie iwanofrankiwskim, całkiem niedaleko granicy z Polską, zabrakło prądu. Jaka była faktyczna skala awarii? Niektóre media mówią o 1,4 miliona gospodarstw dotkniętych brakiem prądu przez wiele godzin. Nie znaleźliśmy żadnych wiarygodnych liczb to potwierdzających. Według zebranych przez nas informacji ofiarami ataków padły na pewno dwie firmy dostarczające energię elektryczną: Podkarpacki Zakład Energetyczny (Прикарпаттяобленерго) oraz Kijowski Zakład Energetyczny (Київобленерго).
Analiza ich stron oraz profili w mediach społecznościowych pozwoliła ustalić, że awaria w zakładzie kijowskim trwała 23 grudnia od 15:35 do 18:56, wyłączonych zostało 7 podstacji 110kV i 23 podstacje 35kV a łączna liczba odbiorców dotkniętych awarią wynosiła niecałe 80 tysięcy. Z kolei zakład Podkarpacki ZE wskazał jedynie, ze awaria zaczęła się ok. godziny 16 tego samego dnia, nie podając jej zasięgu. Opisy prasowe obszaru awarii pozwalają sądzić, że ofiarami mogli paść wszyscy klienci firmy, a jest ich ponad 500 tysięcy. W obu przypadkach czas przywrócenia zasilania wynosił od 2 do 6 godzin. Niektóre źródła wskazują także na problemy zakładów w Czerniowcach (Чернівціобленерго), Chmielnickim (Хмельницькобленерго) oraz w Charkowie (Харківобленерго), jednak brak jakiegokolwiek potwierdzenia tych doniesień. Podsumowując można szacować, że awaria dotknęła ok. 600-700 tysięcy gospodarstw domowych.
Jak doszło do awarii
Z raportów firm zajmujących się cyberbezpieczeństwem można wywnioskować, że to złośliwe oprogramowanie, stworzone specjalnie na potrzeby tego ataku, zaatakowało serwery ICS i co najmniej wysadziło je w powietrze. Dużo wiarygodniej brzmią raporty ze źródeł ukraińskich. Ich analiza pokazuje, że prawdopodobnym źródłem problemów była infekcja sieci komputerowej zakładów energetycznych, która w konsekwencji doprowadziła do przejęcia przez włamywacza kontroli nad komputerami sterującymi zdalnie funkcjonowaniem stacji transformatorowych. Wykorzystując ten dostęp włamywacz zdalnie wyłączył zasilanie we wszystkich sterowanych podstacjach a następnie trwale uszkodził system operacyjny komputera sterującego, by uniemożliwić szybkie włączenie zasilania. Relacje pracowników firm energetycznych oraz oficjalne komunikaty wskazują, że nie doszło do uszkodzenia urządzeń i jedyne, czego było trzeba do przywrócenia zasilania, to lotne brygady odwiedzające po kolei wszystkie stacje transformatorowe i przechodzące na sterowanie ręczne.
Próbki, konie trojańskie i makra
Co do jednego wszyscy badacze są zgodni – do infekcji sieci firm energetycznych doszło przez dokumenty Microsoft Office ze złośliwymi poleceniami w makrach. Tak, jeden z pierwszych cyberataków na infrastrukturę krytyczną oparty był na funkcjach Microsoft Office i naiwności użytkowników. Nie wiadomo co prawda, czy źródłem był plik Excela (jak wskazywał ESET, choć pokazywał próbkę sprzed wielu miesięcy) czy raczej plik Worda (jak mówi US-CERT), wiadomo jednak, że grupa stojąca za atakiem z lubością wykorzystuje takie własnie zaawansowane metody. Co prawda w 2014 została przyłapana na użyciu błędu typu 0day (w PowerPoincie), jednak standardem są makra.
Skąd jednak wiemy kto i czym atakował? Źródła zbliżone do dobrze poinformowanych wskazują, że na dyskach zainfekowanych firm znaleziono ślady elementów konia trojańskiego BlackEnergy. Program ten znany jest od kilku lat, posiada konstrukcje modułową i jest w miarę zaawansowanym, chociaż nie najwyższych lotów narzędziem szpiegowskim posiadającym także funkcje destrukcji. Brak dowodów umożliwiających niezależną weryfikacje tych informacji, jednak faktycznie 23 grudnia, kilka godzin po ataku, ktoś z ukraińskiego adresu IP wgrał na VirusTotala próbkę modułu niszczącego dane o nieznanej wcześniej sygnaturze. Pojawiło się także kilka próbek dokumentów MS Office (linki na końcu artykułu) których zadaniem była instalacja pierwszego modułu BlackEnergy, zatem wszystko wskazuje, że faktycznie to tym koniem trojańskim były zainfekowane sieci firm, które padły ofiarami ataków.
Choć odnaleziony moduł KillDisk niszczący dane posiadał dodatkową funkcję wyłączania procesu kojarzonego z systemami sterowania przemysłowego, to brak jakichkolwiek dowodów na to, by wyłączenie zasilania było spowodowane bezpośrednio działaniem złośliwego oprogramowania. Znacznie bardziej przekonywująca jest teoria mówiąca o tym, że wyłączenia dokonano np. korzystając ze zdalnego pulpitu umożliwiającego sterowanie zasilaniem podstacji. Otwartym pozostaje pytanie, dlaczego pulpit ten był dostępny z zewnętrznej sieci.
Osobnym wątkiem jest także rzekomy atak DDoS na centrum telefonicznej obsługi klientów. Wg ukraińskiej Służby Bezpieczeństwa (nie cieszącej się nadzwyczajną wiarygodnością) atakom na sieci energetyczne towarzyszyły ataki odmowy usługi skierowane na centra telefonicznej obsługi klienta. Rzekomym celem takich ataków miało być uniemożliwienie dystrybutorowi energii powzięcia wiedzy o awarii. Ta teoria wydaje się nam bardzo mocno naciągana. Bez wątpienia wyłączenie wszystkich podstacji (a zatem spadek poboru mocy o 100%) jest zauważalny natychmiast i bez zgłoszeń klientów. Nagłe obciążenie linii telefonicznych można wytłumaczyć nieco prościej – klientom nagle zgasło światło i chcieli dowiedzieć się kiedy wróci.
A gdzie te wiewiórki?
Być może niektórzy z czytelników pamiętają jeszcze tytuł artykułu, przez który tak dzielnie się przedzierali przez ostatnie minuty. Wiewiórki są wbrew pozorom bardzo ważnym elementem analizy zagrożeń w sektorze infrastruktury krytycznej. Jak informuje ujawniona niedawno grupa Cyber Squirrel 1 w historii awarii sieci energetycznych to własnie wiewiórki wiodą niekwestionowany prym i były sprawcami co najmniej 623 udokumentowanych awarii na całym świecie, czyli o 622 więcej niż Rosja lub USA. Oto mapa ich ataków w samym roku 2015:
Mapa ataków wiewiórek
O ile rosyjscy hakerzy brzmią o wiele lepiej (i pomagają sprzedać więcej usług i sprzętu), o tyle wiewiórki są dużo lepiej zorganizowane i dużo bardziej skuteczne – mają chyba jednak dużo gorszy PR. Pamiętajmy zatem, by w każdej analizie ryzyka uwzględnić również przysłowiowe wiewiórki, czyli często pomijane, za to dużo bardziej realne zagrożenia.
Osobom zainteresowanym dalsza analizą ukraińskiego ataku polecamy linki: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16.
Komentarze
Ten tekst ma chyba sprawdzać czy ktoś czyta całość przed komentowaniem? Wprowadzenie i logo sugerują brak związku z ludźmi i faktyczną winę wiewiórek.
Pewne stronki informują o problemach z siecią w Ukrainie i RP w okolicach Sierpnia roku 2014.
https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml
Czyli, jeśli to prawda to my już także byliśmy wstępnie przetestowani.
:-)
Scoia’tael?
:D
dobre hahaha, naprawdę dobre :)
Zabawne jest to że nie którym się wydaje że to był „zwykły phishing”, jest kilka faz ataku pasywny, aktywny i post
i sądzę że ten post wskazuje raczej że nie był to zwykły
Ogólnie chodzi mi o to że żeby w fazie post exploitacyjnej być wstanie wyłączać prąd to trzeba od początku wiedzieć co się robi.
Gdyby przeciętny kowalski przeją kontrole nad komputerem X w wyniku wysłania dokumentu z MAKRA to sądzę że i tak większych szkód by nie wyrządził bo prawdopodobnie nie wiedziałby nawet gdzie jest.
Nie sposób odmówić Ci racji, ale czy niemożliwym jest, aby faktycznie ów ktoś nie miał pojęcia gdzie jest i po prostu „przeszedł” się po wszystkich komputerach w sieci wyłączając jeden po drugim?
Wyłączenie komputera nie powoduje wyłączenia stacji transformatorowej…
Czyżby? Jeżeli komputer odpowiada za sterowanie takiej stacji, to czy nie byłoby rozsądnym i „fail-safe” wyłączanie się stacji bez automatycznego sterowania?
I światło mruga w całym regionie przy każdym restarcie komputera. Świetny plan :)
A czy Ty świadomie wydajesz ciału polecenia wdech i wydech? Automatyka działa autonomicznie, a HMI służą do nadzoru jej pracy, wydawania poleceń ruchowych oraz parametryzacji wartości progowych.
Przepraszam. Na trzeźwo to nawet mnie moje porównania wydają się głupie.
A czy Ty z 12:22 znalazłeś już transformator na SE Stanisławów? CN i wszystkie RCN-y czekają. Miło, że poczytałeś na Wikipedii co to jest HMI, że umiesz w jednym zdaniu zestawić kilka trudnych nazw, ale to jeszcze nie oznacza fachury od automatyki.
Mogłoby tak gdzieś być – ale była by to bardzo zła praktyka inżynierska. Jeśli uzależnisz całą stację od jednego komputera / jednej sieci zależnej w gruncie rzeczy od konkretnego kabla to stworzysz „wąskie gardło” na którym WSZYSTKO może się posypać – to raz. Po drugie – po to są mikrokontrolery i inne układy,żeby starać się to robić w miarę niezależnym od jakiegoś centralnego serwera i zdolnym do operowania just in time w czasie rzeczywistym. Ułamek sekundy może znaczyć „za późno”. I najważniejsze: Infrastruktura krytyczna bezpieczeństwa powinna z zasady zawierać dublujące się mechanizmy zabezpieczające różnego rodzaju. Jak myślisz,po co np dla telekomunikacji istnieje taki język jak Erlang ? ___ Oczywiście bywa często,że tak dobrze to nie jest,może się zdarzyć wszystko jest robione na okrętkę w oparciu o 1 serwer i nawet był jakiś artykuł o pewnej firmie naftowej i chyba jak się nie mylę wspomniany nawet przez z3s… Ale to już inna historia.
Ruscy rządzą :D
Pewnie środki w etapie aktywnym dobrano na miarę potrzeb, bo wiedzieli jak ogarnięci ludzie siedzą po drugiej stronie kabla
mapa przedstawiająca lokalizacje ataków wiewiórek…, to prawie jak globalna apokalipsa, heh.
poza tym, „przysłowiowe wiewiórki” to raczej synonim źródła informacji. ;P
choć na ukrainie, i w rosji, to wszystkiemu są winne wiewiórki. zawsze. ;)
Cyberwiewiórki.
To już wiem skąd się wziął sceneriusz do „Mr Robot”.
Pytanie do redakcji. Czy wiadomo jaki jest motyw działania 'wiewiórek’? Czy możliwe jest, że działają na zlecenie za kasę? A może to jakaś ideologia?
Analizy trwają.
Patrz wyżej.Przecież d2k pisze,że Scoia’tael… ___ Chcesz ich ideologię to poczytaj Wiedźmina :P
Są czerwone – to chyba wszystko wyjaśnia.
Choć w sumie w USA są również czarne
Proponuję zaktualizować mapę wiewiórek :)
Brakuje Finlandii, Chin a i liczba ataków w UK jest trochę większa.
Co ciekawe na Ukrainie 0 wiewiór.
Jakie przysłowie z wiewiórkami miał autor na myśli pisząc „przysłowiowe wiewiórki”? ;)
„Gdzie wiewiórka nie może tam trolla pośle” ;)
Stare przysłowie pszczół mówi: jedna wiewiórka awarii nie czyni.
Fajny tekst. Ale patrząc choćby na naszą energetykę, infrastruktura krytyczna jest słabo, albo w ogóle nie zabezpieczona. Są elementy które absolutnie nie powinny być podpięte do netu (pomijając równie cienkie zapory części izolowanych).
To, że SHODAN wypluje Ci N maszyn typu SCADA z domyślnym hasłem to jedno. Druga sprawa to tzw. najsłabsze ogniwo, czyli człowiek. Zauważ, że jak zwykle dostęp do wewnętrznych krytycznych zasobów uzyskano poprzez infekcję PCta użytkownika.
IMHO ciągły monitoring i analiza anomalii to w tej chwili najrozsądniejsza metoda zapobiegania tego typu incydentom.
PS. Jak to możliwe, że nikt nie zauważył GB danych wytransferowanych z Sony? A może nikt nie patrzył?
„IMHO ciągły monitoring i analiza anomalii to w tej chwili najrozsądniejsza metoda zapobiegania tego typu incydentom.”
Monitoring nie zapobiega incydentom a pomaga je wykrywać. Dobra implementacja monitoringu bezpieczeństwa (z DUŻYM naciskiem na słowo dobra/poprawna) może zmniejszyć skalę incydentu, zmniejszyć czas wykrycia oraz odpowiedniej reakcji.
Niestety nie ma skutecznej metody zablokowania powstania incydentów. Oczywiście nie twierdzę żeby nie implementować monitoringu, im więcej elementów obrony tym lepiej!
Wg. mnie, w tym wypadku Censys sprawdza się lepiej od Shodana.
IMHO IMHO. SONY używa Scady? Wiesz co piszesz?
Tadzik trolu, wiem co piszę. Przykładem Sony nawiązywałem do kwestii monitoringu anomalii. Nie bez powodu było w postscriptum.
co do ataków na telefoniczne centra obsługi klienta to faktycznie ma to miejsce zazwyczaj w krajach 3 świata i polega na tym że wkurzeni klienci zapychają owe centra telefonami – wiem bo widziałem na własne oczy
Podczas incydentu wygenerowanego przez zespół odpowiedzialny za reagowanie na incydenty – chłopcy nie umieli zweryfikować adresów i wycieli BGP serwery hostingowe z internetu ^^
dla dobra nas wszystkich, dla dobra ludzkości oczywiście
po prostu ktoś nie nadążył już z odbieraniem telefonów
Mają stare HMI i starą automatyke nieobsługującą nowoczesnego protokołu 61850, co źle wpływa na całą infrastrukturę krytyczną, podnosząc poziom zagrożenia. HMI (Human Media Indicator) mogą wprowadzić zielonego operatora w błąd.
a kto mówił że zielony ;]
Polecam ciekawą książkę w tej tematyce – 780 stron wciągnąłem w 4 dni:
Marc Elsberg – Blackout. Najczarniejszy scenariusz z możliwych
„Pewnego zimowego dnia w całej Europie następuje przerwa w dostawie prądu – pełne zaciemnienie. Włoski informatyk i były haker Piero Manzano podejrzewa, że może to być zmasowany elektroniczny atak terrorystyczny. Próbując ostrzec władze, sam zostaje uznany za podejrzanego. W próbie rozwiązania zagadki stara się mu pomóc dziennikarka Lauren Shannon. Im bliżej będą prawdy o przyczynie zaistniałej sytuacji, tym większe ich zaskoczenie oraz niebezpieczeństwo, na jakie się narażają.
Tymczasem Europa pogrąża się w ciemności. Zaczyna brakować podstawowych środków do życia: wody, jedzenia, ogrzewania. Wystarczy kilka dni, by zapanował chaos na niespotykaną skalę. Thriller naukowy „Blackout” (i powieść sensacyjna w jednym) realistycznie przedstawia prawdziwie czarny scenariusz wydarzeń, których prawdopodobieństwo jest tym większe, im bardziej nasze codzienne życie uzależnione jest od elektroniki. Dopóki jest prąd, jesteś bezpieczny…”