13.01.2016 | 19:31

Adam Haertle

Wiewiórki kontra rosyjscy hakerzy, czyli kto jest zagrożeniem dla infrastruktury krytycznej

23 grudnia ktoś wyłączył prąd w kilkuset tysiącach domów na zachodzie Ukrainy. Szybko pojawiły się plotki wskazujące na atak hakerów, lub, jak wolą media i niektórzy analitycy, cyberatak cyberarmii. Spróbujmy przyjrzeć się tej sprawie.

Osoby ostrzegające świat przed cyberwojnami czy też innymi cyberkonfliktami mają, oprócz katastroficznych wizji, poważny problem z odpowiedzią na pytanie o historyczne ataki. Oprócz dobrze udokumentowanego Stuxnetu (gdzie nie ma wątpliwości, że ktoś stworzył elektroniczną broń, która zadała straty wrogowi), w miarę udokumentowane są ataki na sieci w Estonii (choć to tylko – lub aż – DDoS). Do listy, trochę ją naciągając, można także dodać rzekomo skuteczny atak na wielki piec jednej z niemieckich hut (choć brak upublicznionych szczegółów) i saudyjską firmę naftową oraz, naciągając dużo bardziej, atak na rurociąg w Turcji (tu dowodów brak, są tylko spekulacje).

W tej sytuacji wyłączenie prądu na Ukrainie można obwołać drugim poważnym atakiem na infrastrukturę krytyczną z użyciem technologii IT. Wokół tej sprawy narosło kilka mitów i plotek, zatem spróbujmy uporządkować wiedzę.

Co wydarzyło się w grudniu

23 grudnia w domach w obwodzie iwanofrankiwskim, całkiem niedaleko granicy z Polską, zabrakło prądu. Jaka była faktyczna skala awarii? Niektóre media mówią o 1,4 miliona gospodarstw dotkniętych brakiem prądu przez wiele godzin. Nie znaleźliśmy żadnych wiarygodnych liczb to potwierdzających. Według zebranych przez nas informacji ofiarami ataków padły na pewno dwie firmy dostarczające energię elektryczną: Podkarpacki Zakład Energetyczny (Прикарпаттяобленерго) oraz Kijowski Zakład Energetyczny (Київобленерго).

Analiza ich stron oraz profili w mediach społecznościowych pozwoliła ustalić, że awaria w zakładzie kijowskim trwała 23 grudnia od 15:35 do 18:56, wyłączonych zostało 7 podstacji 110kV i 23 podstacje 35kV a łączna liczba odbiorców dotkniętych awarią wynosiła niecałe 80 tysięcy. Z kolei zakład Podkarpacki ZE wskazał jedynie, ze awaria zaczęła się ok. godziny 16 tego samego dnia, nie podając jej zasięgu. Opisy prasowe obszaru awarii pozwalają sądzić, że ofiarami mogli paść wszyscy klienci firmy, a jest ich ponad 500 tysięcy. W obu przypadkach czas przywrócenia zasilania wynosił od 2 do 6 godzin. Niektóre źródła wskazują także na problemy zakładów w Czerniowcach (Чернівціобленерго), Chmielnickim (Хмельницькобленерго) oraz w Charkowie (Харківобленерго), jednak brak jakiegokolwiek potwierdzenia tych doniesień. Podsumowując można szacować, że awaria dotknęła ok. 600-700 tysięcy gospodarstw domowych.

Jak doszło do awarii

Z raportów firm zajmujących się cyberbezpieczeństwem można wywnioskować, że to złośliwe oprogramowanie, stworzone specjalnie na potrzeby tego ataku, zaatakowało serwery ICS i co najmniej wysadziło je w powietrze. Dużo wiarygodniej brzmią raporty ze źródeł ukraińskich. Ich analiza pokazuje, że prawdopodobnym źródłem problemów była infekcja sieci komputerowej zakładów energetycznych, która w konsekwencji doprowadziła do przejęcia przez włamywacza kontroli nad komputerami sterującymi zdalnie funkcjonowaniem stacji transformatorowych. Wykorzystując ten dostęp włamywacz zdalnie wyłączył zasilanie we wszystkich sterowanych podstacjach a następnie trwale uszkodził system operacyjny komputera sterującego, by uniemożliwić szybkie włączenie zasilania. Relacje pracowników firm energetycznych oraz oficjalne komunikaty wskazują, że nie doszło do uszkodzenia urządzeń i jedyne, czego było trzeba do przywrócenia zasilania, to lotne brygady odwiedzające po kolei wszystkie stacje transformatorowe i przechodzące na sterowanie ręczne.

Próbki, konie trojańskie i makra

Co do jednego wszyscy badacze są zgodni – do infekcji sieci firm energetycznych doszło przez dokumenty Microsoft Office ze złośliwymi poleceniami w makrach. Tak, jeden z pierwszych cyberataków na infrastrukturę krytyczną oparty był na funkcjach Microsoft Office i naiwności użytkowników. Nie wiadomo co prawda, czy źródłem był plik Excela (jak wskazywał ESET, choć pokazywał próbkę sprzed wielu miesięcy) czy raczej plik Worda (jak mówi US-CERT), wiadomo jednak, że grupa stojąca za atakiem z lubością wykorzystuje takie własnie zaawansowane metody. Co prawda w 2014 została przyłapana na użyciu błędu typu 0day (w PowerPoincie), jednak standardem są makra.

Skąd jednak wiemy kto i czym atakował? Źródła zbliżone do dobrze poinformowanych wskazują, że na dyskach zainfekowanych firm znaleziono ślady elementów konia trojańskiego BlackEnergy. Program ten znany jest od kilku lat, posiada konstrukcje modułową i jest w miarę zaawansowanym, chociaż nie najwyższych lotów narzędziem szpiegowskim posiadającym także funkcje destrukcji. Brak dowodów umożliwiających niezależną weryfikacje tych informacji, jednak faktycznie 23 grudnia, kilka godzin po ataku, ktoś z ukraińskiego adresu IP wgrał na VirusTotala próbkę modułu niszczącego dane o nieznanej wcześniej sygnaturze. Pojawiło się także kilka próbek dokumentów MS Office (linki na końcu artykułu) których zadaniem była instalacja pierwszego modułu BlackEnergy, zatem wszystko wskazuje, że faktycznie to tym koniem trojańskim były zainfekowane sieci firm, które padły ofiarami ataków.

Choć odnaleziony moduł KillDisk niszczący dane posiadał dodatkową funkcję wyłączania procesu kojarzonego z systemami sterowania przemysłowego, to brak jakichkolwiek dowodów na to, by wyłączenie zasilania było spowodowane bezpośrednio działaniem złośliwego oprogramowania. Znacznie bardziej przekonywująca jest teoria mówiąca o tym, że wyłączenia dokonano np. korzystając ze zdalnego pulpitu umożliwiającego sterowanie zasilaniem podstacji. Otwartym pozostaje pytanie, dlaczego pulpit ten był dostępny z zewnętrznej sieci.

Osobnym wątkiem jest także rzekomy atak DDoS na centrum telefonicznej obsługi klientów. Wg ukraińskiej Służby Bezpieczeństwa (nie cieszącej się nadzwyczajną wiarygodnością) atakom na sieci energetyczne towarzyszyły ataki odmowy usługi skierowane na centra telefonicznej obsługi klienta. Rzekomym celem takich ataków miało być uniemożliwienie dystrybutorowi energii powzięcia wiedzy o awarii. Ta teoria wydaje się nam bardzo mocno naciągana. Bez wątpienia wyłączenie wszystkich podstacji (a zatem spadek poboru mocy o 100%) jest zauważalny natychmiast i bez zgłoszeń klientów. Nagłe obciążenie linii telefonicznych można wytłumaczyć nieco prościej – klientom nagle zgasło światło i chcieli dowiedzieć się kiedy wróci.

A gdzie te wiewiórki?

Być może niektórzy z czytelników pamiętają jeszcze tytuł artykułu, przez który tak dzielnie się przedzierali przez ostatnie minuty. Wiewiórki są wbrew pozorom bardzo ważnym elementem analizy zagrożeń w sektorze infrastruktury krytycznej. Jak informuje ujawniona niedawno grupa Cyber Squirrel 1 w historii awarii sieci energetycznych to własnie wiewiórki wiodą niekwestionowany prym i były sprawcami co najmniej 623 udokumentowanych awarii na całym świecie, czyli o 622 więcej niż Rosja lub USA. Oto mapa ich ataków w samym roku 2015:

Mapa ataków wiewiórek

Mapa ataków wiewiórek

O ile rosyjscy hakerzy brzmią o wiele lepiej (i pomagają sprzedać więcej usług i sprzętu), o tyle wiewiórki są dużo lepiej zorganizowane i dużo bardziej skuteczne – mają chyba jednak dużo gorszy PR. Pamiętajmy zatem, by w każdej analizie ryzyka uwzględnić również przysłowiowe wiewiórki, czyli często pomijane, za to dużo bardziej realne zagrożenia.

Osobom zainteresowanym dalsza analizą ukraińskiego ataku polecamy linki: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 121314, 1516.

Powrót

Komentarze

  • 2016.01.13 20:57 Łukasz

    Ten tekst ma chyba sprawdzać czy ktoś czyta całość przed komentowaniem? Wprowadzenie i logo sugerują brak związku z ludźmi i faktyczną winę wiewiórek.

    Odpowiedz
  • 2016.01.13 21:39 d2k

    Scoia’tael?

    Odpowiedz
    • 2016.01.14 11:22 Caper

      :D

      Odpowiedz
    • 2016.01.21 12:13 tuhajbejowicx

      dobre hahaha, naprawdę dobre :)

      Odpowiedz
  • 2016.01.13 21:50 BożydarIwanow

    Zabawne jest to że nie którym się wydaje że to był „zwykły phishing”, jest kilka faz ataku pasywny, aktywny i post
    i sądzę że ten post wskazuje raczej że nie był to zwykły
    Ogólnie chodzi mi o to że żeby w fazie post exploitacyjnej być wstanie wyłączać prąd to trzeba od początku wiedzieć co się robi.
    Gdyby przeciętny kowalski przeją kontrole nad komputerem X w wyniku wysłania dokumentu z MAKRA to sądzę że i tak większych szkód by nie wyrządził bo prawdopodobnie nie wiedziałby nawet gdzie jest.

    Odpowiedz
    • 2016.01.14 07:36 Gruby

      Nie sposób odmówić Ci racji, ale czy niemożliwym jest, aby faktycznie ów ktoś nie miał pojęcia gdzie jest i po prostu „przeszedł” się po wszystkich komputerach w sieci wyłączając jeden po drugim?

      Odpowiedz
      • 2016.01.14 08:44 Adam

        Wyłączenie komputera nie powoduje wyłączenia stacji transformatorowej…

        Odpowiedz
        • 2016.01.14 11:44 Gruby

          Czyżby? Jeżeli komputer odpowiada za sterowanie takiej stacji, to czy nie byłoby rozsądnym i „fail-safe” wyłączanie się stacji bez automatycznego sterowania?

          Odpowiedz
          • 2016.01.14 11:47 Adam

            I światło mruga w całym regionie przy każdym restarcie komputera. Świetny plan :)

          • 2016.01.15 12:22 Tadzik

            A czy Ty świadomie wydajesz ciału polecenia wdech i wydech? Automatyka działa autonomicznie, a HMI służą do nadzoru jej pracy, wydawania poleceń ruchowych oraz parametryzacji wartości progowych.

          • 2016.01.15 22:44 Tadzik

            Przepraszam. Na trzeźwo to nawet mnie moje porównania wydają się głupie.

          • 2016.01.16 07:00 ciekawy

            A czy Ty z 12:22 znalazłeś już transformator na SE Stanisławów? CN i wszystkie RCN-y czekają. Miło, że poczytałeś na Wikipedii co to jest HMI, że umiesz w jednym zdaniu zestawić kilka trudnych nazw, ale to jeszcze nie oznacza fachury od automatyki.

          • 2016.01.17 08:43 kez87

            Mogłoby tak gdzieś być – ale była by to bardzo zła praktyka inżynierska. Jeśli uzależnisz całą stację od jednego komputera / jednej sieci zależnej w gruncie rzeczy od konkretnego kabla to stworzysz „wąskie gardło” na którym WSZYSTKO może się posypać – to raz. Po drugie – po to są mikrokontrolery i inne układy,żeby starać się to robić w miarę niezależnym od jakiegoś centralnego serwera i zdolnym do operowania just in time w czasie rzeczywistym. Ułamek sekundy może znaczyć „za późno”. I najważniejsze: Infrastruktura krytyczna bezpieczeństwa powinna z zasady zawierać dublujące się mechanizmy zabezpieczające różnego rodzaju. Jak myślisz,po co np dla telekomunikacji istnieje taki język jak Erlang ? ___ Oczywiście bywa często,że tak dobrze to nie jest,może się zdarzyć wszystko jest robione na okrętkę w oparciu o 1 serwer i nawet był jakiś artykuł o pewnej firmie naftowej i chyba jak się nie mylę wspomniany nawet przez z3s… Ale to już inna historia.

  • 2016.01.13 21:52 BożydarIwanow

    Ruscy rządzą :D

    Odpowiedz
  • 2016.01.13 22:12 BożydarIwanow

    Pewnie środki w etapie aktywnym dobrano na miarę potrzeb, bo wiedzieli jak ogarnięci ludzie siedzą po drugiej stronie kabla

    Odpowiedz
  • 2016.01.14 08:00 misiou

    mapa przedstawiająca lokalizacje ataków wiewiórek…, to prawie jak globalna apokalipsa, heh.
    poza tym, „przysłowiowe wiewiórki” to raczej synonim źródła informacji. ;P
    choć na ukrainie, i w rosji, to wszystkiemu są winne wiewiórki. zawsze. ;)

    Odpowiedz
  • 2016.01.14 09:51 kot

    Cyberwiewiórki.

    Odpowiedz
  • 2016.01.14 10:21 Dev0

    To już wiem skąd się wziął sceneriusz do „Mr Robot”.
    Pytanie do redakcji. Czy wiadomo jaki jest motyw działania 'wiewiórek’? Czy możliwe jest, że działają na zlecenie za kasę? A może to jakaś ideologia?

    Odpowiedz
    • 2016.01.14 10:38 Adam

      Analizy trwają.

      Odpowiedz
    • 2016.01.14 22:21 kez87

      Patrz wyżej.Przecież d2k pisze,że Scoia’tael… ___ Chcesz ich ideologię to poczytaj Wiedźmina :P

      Odpowiedz
    • 2016.02.04 15:02 lenwe

      Są czerwone – to chyba wszystko wyjaśnia.

      Choć w sumie w USA są również czarne

      Odpowiedz
  • 2016.01.14 11:54 Marcin

    Proponuję zaktualizować mapę wiewiórek :)

    Odpowiedz
  • 2016.01.14 11:58 Marcin

    Brakuje Finlandii, Chin a i liczba ataków w UK jest trochę większa.

    Co ciekawe na Ukrainie 0 wiewiór.

    Odpowiedz
  • 2016.01.14 13:13 www.BGP.pl

    Jakie przysłowie z wiewiórkami miał autor na myśli pisząc „przysłowiowe wiewiórki”? ;)

    Odpowiedz
    • 2016.01.14 13:37 Adam

      „Gdzie wiewiórka nie może tam trolla pośle” ;)

      Odpowiedz
    • 2016.01.18 00:45 Pablo_Wawa

      Stare przysłowie pszczół mówi: jedna wiewiórka awarii nie czyni.

      Odpowiedz
  • 2016.01.14 13:48 Korsarz

    Fajny tekst. Ale patrząc choćby na naszą energetykę, infrastruktura krytyczna jest słabo, albo w ogóle nie zabezpieczona. Są elementy które absolutnie nie powinny być podpięte do netu (pomijając równie cienkie zapory części izolowanych).

    Odpowiedz
    • 2016.01.14 15:53 Dev0

      To, że SHODAN wypluje Ci N maszyn typu SCADA z domyślnym hasłem to jedno. Druga sprawa to tzw. najsłabsze ogniwo, czyli człowiek. Zauważ, że jak zwykle dostęp do wewnętrznych krytycznych zasobów uzyskano poprzez infekcję PCta użytkownika.
      IMHO ciągły monitoring i analiza anomalii to w tej chwili najrozsądniejsza metoda zapobiegania tego typu incydentom.

      PS. Jak to możliwe, że nikt nie zauważył GB danych wytransferowanych z Sony? A może nikt nie patrzył?

      Odpowiedz
      • 2016.01.15 08:55 Kelven

        „IMHO ciągły monitoring i analiza anomalii to w tej chwili najrozsądniejsza metoda zapobiegania tego typu incydentom.”
        Monitoring nie zapobiega incydentom a pomaga je wykrywać. Dobra implementacja monitoringu bezpieczeństwa (z DUŻYM naciskiem na słowo dobra/poprawna) może zmniejszyć skalę incydentu, zmniejszyć czas wykrycia oraz odpowiedniej reakcji.
        Niestety nie ma skutecznej metody zablokowania powstania incydentów. Oczywiście nie twierdzę żeby nie implementować monitoringu, im więcej elementów obrony tym lepiej!

        Odpowiedz
      • 2016.01.15 14:36 Korsarz

        Wg. mnie, w tym wypadku Censys sprawdza się lepiej od Shodana.

        Odpowiedz
      • 2016.01.15 22:49 Tadzik

        IMHO IMHO. SONY używa Scady? Wiesz co piszesz?

        Odpowiedz
        • 2016.01.18 08:35 Dev0

          Tadzik trolu, wiem co piszę. Przykładem Sony nawiązywałem do kwestii monitoringu anomalii. Nie bez powodu było w postscriptum.

          Odpowiedz
  • 2016.01.14 23:24 ss

    co do ataków na telefoniczne centra obsługi klienta to faktycznie ma to miejsce zazwyczaj w krajach 3 świata i polega na tym że wkurzeni klienci zapychają owe centra telefonami – wiem bo widziałem na własne oczy
    Podczas incydentu wygenerowanego przez zespół odpowiedzialny za reagowanie na incydenty – chłopcy nie umieli zweryfikować adresów i wycieli BGP serwery hostingowe z internetu ^^

    Odpowiedz
    • 2016.01.14 23:25 ss

      dla dobra nas wszystkich, dla dobra ludzkości oczywiście

      Odpowiedz
    • 2016.01.14 23:30 ss

      po prostu ktoś nie nadążył już z odbieraniem telefonów

      Odpowiedz
      • 2016.01.15 22:48 Tadzik

        Mają stare HMI i starą automatyke nieobsługującą nowoczesnego protokołu 61850, co źle wpływa na całą infrastrukturę krytyczną, podnosząc poziom zagrożenia. HMI (Human Media Indicator) mogą wprowadzić zielonego operatora w błąd.

        Odpowiedz
        • 2016.01.16 07:38 ss

          a kto mówił że zielony ;]

          Odpowiedz
  • 2016.01.15 14:46 Maciej

    Polecam ciekawą książkę w tej tematyce – 780 stron wciągnąłem w 4 dni:

    Marc Elsberg – Blackout. Najczarniejszy scenariusz z możliwych

    „Pewnego zimowego dnia w całej Europie następuje przerwa w dostawie prądu – pełne zaciemnienie. Włoski informatyk i były haker Piero Manzano podejrzewa, że może to być zmasowany elektroniczny atak terrorystyczny. Próbując ostrzec władze, sam zostaje uznany za podejrzanego. W próbie rozwiązania zagadki stara się mu pomóc dziennikarka Lauren Shannon. Im bliżej będą prawdy o przyczynie zaistniałej sytuacji, tym większe ich zaskoczenie oraz niebezpieczeństwo, na jakie się narażają.

    Tymczasem Europa pogrąża się w ciemności. Zaczyna brakować podstawowych środków do życia: wody, jedzenia, ogrzewania. Wystarczy kilka dni, by zapanował chaos na niespotykaną skalę. Thriller naukowy „Blackout” (i powieść sensacyjna w jednym) realistycznie przedstawia prawdziwie czarny scenariusz wydarzeń, których prawdopodobieństwo jest tym większe, im bardziej nasze codzienne życie uzależnione jest od elektroniki. Dopóki jest prąd, jesteś bezpieczny…”

    Odpowiedz

Zostaw odpowiedź do tuhajbejowicx

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wiewiórki kontra rosyjscy hakerzy, czyli kto jest zagrożeniem dla infrastruktury krytycznej

Komentarze