Cyberatak na stacje energetyczne i odcięcie dostaw energii elektrycznej do 80 000 odbiorców

18

W dniu 23 grudnia 2015 roku, około godziny 13:00  w sieci lokalnego, zachodnio-ukraińskiego dostawcy energii –  PRYKARPATTYAOBLENERGO wystąpiły przerwy w dostawach energii. Nastąpiło trwające około 6 godzin odcięcie zasilania do 80 000 odbiorców. W tym samym czasie, z powodu awarii technicznych, klientom nie udawało się również zgłosić zaistniałego problemu w call center dystrybutora energii. Ponadto wydaje się, że inne regionalne spółki energetyczne na Ukrainie także zostały w tym samym czasie zaatakowane. Po przeanalizowaniu przez badaczy uzyskanych do tej pory informacji, potwierdza się, że bezpośrednią przyczyną przerw w dostawach prądu na Ukrainie były zaawansowane, najprawdopodobniej wsparte silnym finansowaniem cyberataki.

Z tego, co do tej pory zostało ujawnione, wydaje się, że napastnicy użyli co najmniej jednego rodzaju złośliwego oprogramowania (malware) do uszkodzenia serwerów sieci OT (sieci sterowania przemysłowego) i wykazali możliwość jego rozprzestrzeniania wewnątrz zaatakowanej sieci. Najbardziej prawdopodobnym jest, że w celu uruchomienia ataku, sprawcy byli włączeni online w sieć OT atakowanego przedsiębiorstwa. Pozwoliło im to wybrać dokładny czas dla wykonania sekwencji działań które finalnie spowodowały przerwy w zasilaniu.

Penetracja sieci

Przeprowadzenie jednoczesnego ataku na kilka regionalnych energetycznych firm dystrybucyjnych było dokładnie skoordynowane, aby zwiększyć prawdopodobieństwo osiągnięcia przez atakujących zamierzonego celu. Raporty w mediach wskazują konkretnych dostawców energii, którzy zostali zaatakowani, w tym PRYKARPATTYAOBLENERGO i KYIVOBLENERGO.

Dokładne kalendarium ataku i sekwencja zdarzeń są nadal niejasne i jeszcze analizowane. KYIVOBLENERGO upublicznił klientom informację, która mówi, że w wyniku ataku doszło do odłączenia siedmiu podstacji 110kV i dwudziestu trzech podstacji 35kV, co wywołało zanik zasilania, który dotknął 80 000 odbiorców energii. Wydaje się, że główny składnik malware’u został osadzony w oprogramowaniu urządzeń HMI (Human – Machine Interface, np. systemy typu SCADA) wykorzystywanych przez przedsiębiorstwa energetyczne. Gdy operatorzy aktualizowali ich oprogramowanie, zostały pobrane zainfekowane pliki, które zawierały złośliwe oprogramowanie pochodzące od atakującego. Kiedy malware został już pobrany, napastnicy uzyskali trwały dostęp do sieci atakowanych przedsiębiorstw.

Wewnątrz sieci OT

Po infiltracji sieci poprzez urządzenia HMI, program atakujący zaczął rozprzestrzeniać się w sieci, gdzie celem były serwery odpowiedzialne za kontrolę urządzeń stacyjnych i raportujące ich stan. Pozwoliło to atakującym – aż do zakończenia fazy realizacji ataku – na ukrycie dokładnego stanu sieci dystrybucyjnej oraz na usunięcie danych, które mogłyby posłużyć jako dowody sądowe. Obydwa działania wydłużyły czas jaki zajęła spółkom dystrybucyjnym reakcja na cyberatak. Co więcej, nawet teraz skutki tych działań wciąż utrudniają badaczom dokładne odtworzenie przebiegu ataku.

Realizacja ataku

Przeprowadzone analizy i zebrane dowody wskazują, że podczas ataku napastnicy wykonywali działania bezpośrednio z zaatakowanej sieci, prawdopodobnie za pośrednictwem portu zdalnego dostępu. Wiadomo, że atakujący użyli zmodyfikowanej wersji oprogramowania zdalnego dostępu, które zostało zainstalowane wcześniej w sieci atakowanej firmy. Będąc w sieci, atakujący byli w stanie wysłać odpowiednie polecenia do stacyjnych urządzeń wykonawczych i – koordynując te działania – wywołać zamierzone skutki.
Analiza ataku ujawnia, że z awarią było związane złośliwe oprogramowanie składające się z co najmniej dwóch elementów. Pierwszy z nich – “KillDisk” był prawdopodobnie użyty do usunięcia niektórych danych z serwerów. Ten program prawdopodobnie nie spowodował bezpośrednio odcięcia dopływu energii. Działania atakujących brały pod uwagę czas, miejsce i oddziaływanie skutków awarii, co nie jest typowym motywem użycia programu “KillDisk”. Najprawdopodobniej celem „KillDisk” było usunięcie z serwerów potencjalnych danych dowodowych i opóźnienie przywracania usług przez usuwanie danych z serwerów SCADA po tym jak awaria już została spowodowana.
Inny szkodliwy program wykorzystany przez atakujących jest związany z cyberatakami „BlackEnergy”. Szkodnik ten został użyty, aby pobrać i aktywować oprogramowanie ‘KillDisk’. Możliwe jest, że szkodnik BlackEnergy również był wykorzystywany do zbierania informacji podczas penetracji sieci lub do bezpośredniego wykonania ataku. Kolejnym oprogramowaniem, które stosowali atakujący jest backdoor SSH. Prawdopodobnie był użyty do komunikowania się pomiędzy innymi serwerami i urządzeniami wewnątrz sieci a serwerami atakujących, podczas gdy były one podłączone do zaatakowanej sieci.
Podczas trwania blackout’u, czyli „właściwej” fazy odcięcia energii, atakujący przeprowadzili dodatkowy atak “Denial of  View” który odciął dyspozytorów systemu od możliwości podglądu stanu urządzeń i spowodował przeciążenie call center w centrum obsługi klienta. Skutkiem tego call center nie przyjmowało rozmów z klientami dzwoniącymi po pomoc lub informację podczas przerwy w dostawach energii.

Wnioski

Sprawa ukraińskiego blackout’u rzuca światło na kilka zagadnień dotyczących cyberataków na przemysłowe systemy SCADA:

  1. Osiągnięcie tak znaczącego efektu ataku wymagało dobrej koordynacji. Aby spowodować odcięcie dostaw energii w tak dużym rozmiarze, hakerzy musieli przedostać się do kilku sieci i to w różnych organizacjach. Ponadto musieli koordynować wydawanie poleceń do stacyjnych urządzeń wykonawczych.
  2. Firmy najsłabiej chronione są najbardziej podatne na atak. Istnieje wiele sposobów by spowodować przestój w dostawach energii, a zakładając, że celem atakujących było po prostu spowodowanie odczuwalnej na szeroką skalę przerwy w dostawach energii na Ukrainie, to zgodnie z logiką powinni oni atakować cele najbardziej narażone i najsłabiej chronione. Faktycznie stwierdzono, że podobne złośliwe działania były prowadzone także wobec innych ukraińskich firm, ale były one lepiej zabezpieczone i na czas udało im się zmniejszyć narażenie i nie dopuścić do ataku.
  3. Stosowanie łańcuchów dostaw jako wektorów ataku: wydaje się, że napastnicy manipulowali plikami urządzeń HMI. Gdy operator urządzenia pobier
    ał plik aktualizacji oprogramowania urządzenia HMI ze strony internetowej dostawcy, mógł pobrać plik zainfekowany szkodliwym oprogramowaniem.
  4. Ukrywanie uszkodzeń: atakujący zazwyczaj próbują ukryć uszkodzenia. Powody tego działania wpisują się również w przypadek ukraiński: wydłużenie czasu osłabienia ochrony podmiotu atakowanego i komplikacja prac analityczno-badawczych po ataku.
  5. Duża skala anomalii zachowania się sieci: jak podano, napastnicy wykazali zdolność do przemieszczania się w sieci pomiędzy podstacjami energetycznymi, wysyłania polecenia do urządzeń stacyjnych, zmiany konfiguracji serwerów i otwarcia kanału komunikacyjnego z zewnątrz sieci. Mechanizmy bezpieczeństwa, takie jak zapory SCADA DPI lub systemy SCADA IDS mogłyby wykryć niektóre z działań w tym łańcuchu zdarzeń.
  6. Zapobieganie cyberatakom na systemy SCADA jest naprawdę możliwe! Gdy atakowane firmy dowiadywały sią o prowadzeniu wobec nich szkodliwych działań, inicjowano wewnętrzne scenariusze działań osłabiających atak. Koncentrowały się one głównie na przejściu do ręcznego sterowania w podstacjach. Krok ten okazał się skuteczny, ale niestety za późno – podejmowany był dopiero po wykryciu ataku, gdy odcięcie dostaw energii już miało miejsce. Gdyby atak został wykryty w jego pierwszej fazie, dałoby to większe szanse na zapobieganie przestojom. Wczesne rozpoznanie jest więc kluczem do całkowitego udaremnienia ataków cybernetycznych. Atakujący potrzebuje relatywnie dużo czasu do przygotowania i przeprowadzenia ataku, co stwarza znaczące i zauważalne zaburzenia w zachowania się sieci.

Ukraińskiemu blackout’owi można było zapobiec i to w wielu punktach położonych wzdłuż całego łańcucha zdarzeń składających się na strukturę ataku (tzw. „Kill-Chain”).

W fazie penetracji sieci, skuteczna segregacja sieci OT pozwoliłaby na wykrycie prób przenikania do sieci przez osoby atakujące. Ten rodzaj wewnętrznej segregacji sieci informatycznej przedsiębiorstwa był już wcześniej (w sierpniu 2014) sugerowany przez ICS-CERT. Wszystko, co było w tym celu wymagane to implementacja firewalla rozdzielającego lokalizacje (stacje energetyczne). Radiflow Secure Gateway 3180 został zaprojektowany właśnie do tego celu. Dzięki szerokim możliwościom VPN i uwierzytelniania, a także natywnemu Deep Packet Inspection(DPI), ten przemysłowy firewall jest najodpowiedniejszym środkiem do skutecznej segregacji sieci. Ponadto, gateway ten jest zdolny do samodzielnego uczenia się zasad DPI, co pomaga w łatwym wdrożeniu wielu urządzeń Secure Gateway przy minimalnym nakładzie pracy na konfigurację. Dowodzi to, że podczas segregacji sieci taki firewall jest niezwykle ważnym środkiem, gdyż umożliwia wykrywanie i zapobieganie kolejnym fazom ataku. W przypadku blackout’u na Ukrainie,  nawet bez takich urządzeń, ukraińscy operatorzy nadal mieli możliwość wykrycia ataku.

W obszarze ruchu poprzecznego, Radiflow Industrial IDS zapewnia najwyższy poziom ochrony. Korzystając z Network Visibility Package, ukraińscy operatorzy sieci byliby w stanie zobaczyć, że hakerzy otworzyli połączenia SSH pomiędzy różnymi stacjami w sieci. Ponadto, można by wykryć kanał komunikacji z serwerami sterowania należącymi do atakujących. Innym ważnym pakietem oprogramowania zawartym w IDS Radiflow jest pakiet Cyber Attack – silnik oparty na algorytmie detekcji sygnatur malware pozwalający na wykrywanie znanego złośliwego oprogramowania komunikującego się wewnątrz sieci. Wiadomym jest, że na Ukrainie napastnicy wykorzystali malware BlackEnergy, jak również znane SSH-Backdoory. Obydwa malware’y mają znane sygnatury i mogły zostać łatwo wykryte. Wreszcie, w fazie ataku, operatorzy sieci mogli widzieli dokładnie polecenia wysłane przez atakujących. W następstwie cyberataku na Ukrainie powstał duży problem w zebraniu dowodów ze względu na brak danych. Korzystając z  Radiflow Industrial IDS operatorzy mogliby przeanalizować ruch, który spowodował awarię i śledzić wszystkie działania atakujących. Byłby to dokonały materiał kryminalistyczny, zaś etap łagodzenia skutków ataku byłby znacznie łatwiejszy i krótszy.

Źródło: www.tekniska.pl