Armia i Służby
295 cyberataków na infrastrukturę krytyczną w USA w 2015 r.
Atak wirusa Black Energy na ukraińską elektrownię, irański haker zdobywający kontrolę nad nowojorską tamą, wygaszenie pieca hutniczego w Niemczech – to przykłady najbardziej jaskrawych przypadków cyberataków na infrastrukturę krytyczną w ostatnich latach. Tylko w 2015 r. do amerykańskiego ICS – CERT zgłoszono 295 podobnych przypadków.
Jak wynika z biuletynu ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) w 2015 r. do zespołu tej amerykańskiej organizacji zgłoszono łącznie 295 incydentów. Najwięcej (97,33 proc.) dotyczyło ataków na infrastrukturę w sektorze produkcji krytycznej. Na drugim miejscu znalazł się sektor energetyczny (46,16 proc.). Za przyczynę wzrostu tych pierwszych w porównaniu z 2014 r. uznano zakrojoną na szeroką skalę kampanię spear-phishingu, której celem były głównie firmy z tego sektora.
Wiele elementów infrastruktury krytycznej opiera się na przemysłowych systemach sterujących (ang. Industrial Control Systems ― ICS). Podłączenie ich do sieci czyni je podatnymi na cyberatak. Kilka jaskrawych przypadków takich działań widzieliśmy w ostatnich latach.
23 grudnia 2015 r. w kilku regionach zachodniej Ukrainy nastąpiła przerwa w dostawie energii elektrycznej spowodowana niesprawnością 57 podstacji zasilania. Okazało się, że powodem jest atak hakerów na systemy ICS tych elektrowni. Incydent ten jest uważany za pierwszy udowodniony przypadek przerwy w dostawie energii elektrycznej na skutek ataku cybernetycznego. Do ataku użyto złośliwego oprogramowania z rodziny Black Energy. Skutkiem agresji było wyłączenie dostaw prądu dla połowy populacji regionu Iwano-Frankowska (dawn. Stanisławów). Bez energii pozostały 103 miasta i miasteczka. Przestępcy najpierw zainfekowali systemy metodą spear-phishingu za pomocą dokumentów MS Office dołączonych do wiadomości e-mail. Pliki zawierały szkodliwe polecenia makro. Następnie usunęli pliki systemowe z systemów sterujących. Wykorzystali też ataki DDoS (ang. Distributed Denial of Service ― rozproszona odmowa usługi) ukierunkowanych na centra obsługi klienta elektrowni, przeprowadzone w formie zmasowanych fikcyjnych połączeń telefonicznych, które opóźniły moment wykrycia problemu przez firmę.
Celami ataków stają się też systemy Infrastruktury krytycznej z Europy zachodniej. W 2014 r. z powodu cyberataku ucierpiała huta stali w Niemczech. Hakerzy doprowadzili do awaryjnego wygaszenia pieca i ogromnych zniszczeń w infrastrukturze sieci. Z kolei w 2015 r. przestępcy opanowali systemy oczyszczalni ścieków w Wielkiej Brytanii. Do ataku wykorzystano phishing i metodę SQL Injection. Opanowując system operacyjny agresorzy byli w stanie regulować kanały i zawory, a tym samym wpływać na poziom wody i chemikaliów używanych do uzdatniania wody do picia. Prawdopodobnie hakerom brakowało wiedzy o działaniu oczyszczalni, która pozwoliłaby na spowodowanie prawdziwych szkód.
Dodajmy do tego liczne ataki po drugiej stronie oceanu. Przykładem może być sprawa irańskiego hakera oskarżanego o to, że w 2013 r. zaatakował zaporę wodną Bowman Avenue Dam w Nowym Jorku. Choć sama zapora nie została uszkodzona, cyberprzestępca przeszukał zainfekowane komputery, prawdopodobnie w celu zebrania określonych informacji.
Z kolei z komputera kontrahenta firmy Calpine (największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych) skradziono wrażliwe dane, m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych.
Przestępcy często do ataków wykorzystują phising ukierunkowany, tzw. spear – phishing. Jeden z ataków zgłoszonych do zespołu ICS-CERT polegał na tym, że cyberprzestępcy utworzyli konto na portalu społecznościowym, z którego następnie wysyłali wiadomości, podszywając się pod osoby szukające pracy. W ten sposób dotarli do pracowników przedsiębiorstwa zarządzającego infrastrukturą o znaczeniu krytycznym, od których wyłudzili takie dane, jak nazwisko dyrektora ds. informatycznych oraz wersje używanego w firmie oprogramowania. Pracownicy ci otrzymali e-mail z CV domniemanego kandydata załączonym jako plik „resume.rar”. Załącznik zawierał szkodliwe oprogramowanie, które zainfekowało systemy pracowników.
Źródło: Fortinet
Czytaj też:
Brytyjska oczyszczalnia ścieków opanowana przez hakerów
Infrastruktura krytyczna: 9 na 10 firm celem cyberataku
FBI ściga listem gończym siedmiu irańskich hakerów