Wiewiórki kontra rosyjscy hakerzy, czyli kto jest zagrożeniem dla infrastruktury krytycznej

dodał 13 stycznia 2016 o 19:31 w kategorii Złośniki  z tagami:
Wiewiórki kontra rosyjscy hakerzy, czyli kto jest zagrożeniem dla infrastruktury krytycznej

23 grudnia ktoś wyłączył prąd w kilkuset tysiącach domów na zachodzie Ukrainy. Szybko pojawiły się plotki wskazujące na atak hakerów, lub, jak wolą media i niektórzy analitycy, cyberatak cyberarmii. Spróbujmy przyjrzeć się tej sprawie.

Osoby ostrzegające świat przed cyberwojnami czy też innymi cyberkonfliktami mają, oprócz katastroficznych wizji, poważny problem z odpowiedzią na pytanie o historyczne ataki. Oprócz dobrze udokumentowanego Stuxnetu (gdzie nie ma wątpliwości, że ktoś stworzył elektroniczną broń, która zadała straty wrogowi), w miarę udokumentowane są ataki na sieci w Estonii (choć to tylko – lub aż – DDoS). Do listy, trochę ją naciągając, można także dodać rzekomo skuteczny atak na wielki piec jednej z niemieckich hut (choć brak upublicznionych szczegółów) i saudyjską firmę naftową oraz, naciągając dużo bardziej, atak na rurociąg w Turcji (tu dowodów brak, są tylko spekulacje).

W tej sytuacji wyłączenie prądu na Ukrainie można obwołać drugim poważnym atakiem na infrastrukturę krytyczną z użyciem technologii IT. Wokół tej sprawy narosło kilka mitów i plotek, zatem spróbujmy uporządkować wiedzę.

Co wydarzyło się w grudniu

23 grudnia w domach w obwodzie iwanofrankiwskim, całkiem niedaleko granicy z Polską, zabrakło prądu. Jaka była faktyczna skala awarii? Niektóre media mówią o 1,4 miliona gospodarstw dotkniętych brakiem prądu przez wiele godzin. Nie znaleźliśmy żadnych wiarygodnych liczb to potwierdzających. Według zebranych przez nas informacji ofiarami ataków padły na pewno dwie firmy dostarczające energię elektryczną: Podkarpacki Zakład Energetyczny (Прикарпаттяобленерго) oraz Kijowski Zakład Energetyczny (Київобленерго).

Analiza ich stron oraz profili w mediach społecznościowych pozwoliła ustalić, że awaria w zakładzie kijowskim trwała 23 grudnia od 15:35 do 18:56, wyłączonych zostało 7 podstacji 110kV i 23 podstacje 35kV a łączna liczba odbiorców dotkniętych awarią wynosiła niecałe 80 tysięcy. Z kolei zakład Podkarpacki ZE wskazał jedynie, ze awaria zaczęła się ok. godziny 16 tego samego dnia, nie podając jej zasięgu. Opisy prasowe obszaru awarii pozwalają sądzić, że ofiarami mogli paść wszyscy klienci firmy, a jest ich ponad 500 tysięcy. W obu przypadkach czas przywrócenia zasilania wynosił od 2 do 6 godzin. Niektóre źródła wskazują także na problemy zakładów w Czerniowcach (Чернівціобленерго), Chmielnickim (Хмельницькобленерго) oraz w Charkowie (Харківобленерго), jednak brak jakiegokolwiek potwierdzenia tych doniesień. Podsumowując można szacować, że awaria dotknęła ok. 600-700 tysięcy gospodarstw domowych.

Jak doszło do awarii

Z raportów firm zajmujących się cyberbezpieczeństwem można wywnioskować, że to złośliwe oprogramowanie, stworzone specjalnie na potrzeby tego ataku, zaatakowało serwery ICS i co najmniej wysadziło je w powietrze. Dużo wiarygodniej brzmią raporty ze źródeł ukraińskich. Ich analiza pokazuje, że prawdopodobnym źródłem problemów była infekcja sieci komputerowej zakładów energetycznych, która w konsekwencji doprowadziła do przejęcia przez włamywacza kontroli nad komputerami sterującymi zdalnie funkcjonowaniem stacji transformatorowych. Wykorzystując ten dostęp włamywacz zdalnie wyłączył zasilanie we wszystkich sterowanych podstacjach a następnie trwale uszkodził system operacyjny komputera sterującego, by uniemożliwić szybkie włączenie zasilania. Relacje pracowników firm energetycznych oraz oficjalne komunikaty wskazują, że nie doszło do uszkodzenia urządzeń i jedyne, czego było trzeba do przywrócenia zasilania, to lotne brygady odwiedzające po kolei wszystkie stacje transformatorowe i przechodzące na sterowanie ręczne.

Próbki, konie trojańskie i makra

Co do jednego wszyscy badacze są zgodni – do infekcji sieci firm energetycznych doszło przez dokumenty Microsoft Office ze złośliwymi poleceniami w makrach. Tak, jeden z pierwszych cyberataków na infrastrukturę krytyczną oparty był na funkcjach Microsoft Office i naiwności użytkowników. Nie wiadomo co prawda, czy źródłem był plik Excela (jak wskazywał ESET, choć pokazywał próbkę sprzed wielu miesięcy) czy raczej plik Worda (jak mówi US-CERT), wiadomo jednak, że grupa stojąca za atakiem z lubością wykorzystuje takie własnie zaawansowane metody. Co prawda w 2014 została przyłapana na użyciu błędu typu 0day (w PowerPoincie), jednak standardem są makra.

Skąd jednak wiemy kto i czym atakował? Źródła zbliżone do dobrze poinformowanych wskazują, że na dyskach zainfekowanych firm znaleziono ślady elementów konia trojańskiego BlackEnergy. Program ten znany jest od kilku lat, posiada konstrukcje modułową i jest w miarę zaawansowanym, chociaż nie najwyższych lotów narzędziem szpiegowskim posiadającym także funkcje destrukcji. Brak dowodów umożliwiających niezależną weryfikacje tych informacji, jednak faktycznie 23 grudnia, kilka godzin po ataku, ktoś z ukraińskiego adresu IP wgrał na VirusTotala próbkę modułu niszczącego dane o nieznanej wcześniej sygnaturze. Pojawiło się także kilka próbek dokumentów MS Office (linki na końcu artykułu) których zadaniem była instalacja pierwszego modułu BlackEnergy, zatem wszystko wskazuje, że faktycznie to tym koniem trojańskim były zainfekowane sieci firm, które padły ofiarami ataków.

Choć odnaleziony moduł KillDisk niszczący dane posiadał dodatkową funkcję wyłączania procesu kojarzonego z systemami sterowania przemysłowego, to brak jakichkolwiek dowodów na to, by wyłączenie zasilania było spowodowane bezpośrednio działaniem złośliwego oprogramowania. Znacznie bardziej przekonywująca jest teoria mówiąca o tym, że wyłączenia dokonano np. korzystając ze zdalnego pulpitu umożliwiającego sterowanie zasilaniem podstacji. Otwartym pozostaje pytanie, dlaczego pulpit ten był dostępny z zewnętrznej sieci.

Osobnym wątkiem jest także rzekomy atak DDoS na centrum telefonicznej obsługi klientów. Wg ukraińskiej Służby Bezpieczeństwa (nie cieszącej się nadzwyczajną wiarygodnością) atakom na sieci energetyczne towarzyszyły ataki odmowy usługi skierowane na centra telefonicznej obsługi klienta. Rzekomym celem takich ataków miało być uniemożliwienie dystrybutorowi energii powzięcia wiedzy o awarii. Ta teoria wydaje się nam bardzo mocno naciągana. Bez wątpienia wyłączenie wszystkich podstacji (a zatem spadek poboru mocy o 100%) jest zauważalny natychmiast i bez zgłoszeń klientów. Nagłe obciążenie linii telefonicznych można wytłumaczyć nieco prościej – klientom nagle zgasło światło i chcieli dowiedzieć się kiedy wróci.

A gdzie te wiewiórki?

Być może niektórzy z czytelników pamiętają jeszcze tytuł artykułu, przez który tak dzielnie się przedzierali przez ostatnie minuty. Wiewiórki są wbrew pozorom bardzo ważnym elementem analizy zagrożeń w sektorze infrastruktury krytycznej. Jak informuje ujawniona niedawno grupa Cyber Squirrel 1 w historii awarii sieci energetycznych to własnie wiewiórki wiodą niekwestionowany prym i były sprawcami co najmniej 623 udokumentowanych awarii na całym świecie, czyli o 622 więcej niż Rosja lub USA. Oto mapa ich ataków w samym roku 2015:

Mapa ataków wiewiórek

Mapa ataków wiewiórek

O ile rosyjscy hakerzy brzmią o wiele lepiej (i pomagają sprzedać więcej usług i sprzętu), o tyle wiewiórki są dużo lepiej zorganizowane i dużo bardziej skuteczne – mają chyba jednak dużo gorszy PR. Pamiętajmy zatem, by w każdej analizie ryzyka uwzględnić również przysłowiowe wiewiórki, czyli często pomijane, za to dużo bardziej realne zagrożenia.

Osobom zainteresowanym dalsza analizą ukraińskiego ataku polecamy linki: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 121314, 1516.