Brytyjska oczyszczalnia ścieków opanowana przez hakerów

Sytuację opisała firma Verizon Security Solutions w swoim raporcie na temat bezpieczeństwa IT w 2015 r. Zaatakowanemu przedsiębiorstwu komunalnemu nadano pseudonim Kemuri Water Company – nie zdradzając, w jakim rejonie Wysp Brytyjskich się znajduje.

Do ataku na KWC wykorzystano phishing i metodę SQL Injection. Atakujący wykorzystali luki w wiekowym już systemie operacyjnym AS/400. Hakerom udało się przejąć kontrolę dzięki podatnościom w aplikacji służącej do dokonywania płatności, z której korzystają klienci oczyszczalni. Do zalogowania się wystarczy nazwa użytkownika i hasło, żaden inny sposób identyfikacji nie został przewidziany.

Okazuje się, że system płatniczy znajdował się na tym samym serwerze, co system operacyjny całej oczyszczalni. Dlatego też hakerzy używając tych samych danych uwierzytelnienia, które wykorzystali w panelu płatniczym, mogli też przejąć kontrolę nad znacznie ważniejszymi zasobami. Opanowując system operacyjny byli w stanie regulować kanały i zawory, a tym samym wpływać na poziom wody i chemikaliów używanych do uzdatniania wody do picia. Większość kluczowych funkcji operacyjnych opierała się na jednej grupie komputerów, które pracowały właśnie w systemie AS400. Co więcej, całym systemem w przedsiębiorstwie administrowała… jedna osoba.

W ciągu 60 dni hakerzy kilkukrotnie logowali się do systemu, w dwóch wypadkach udało im się zmienić ilość chemikaliów, które trafiły do systemu uzdatniania wody. Tym samym zahamowali proces oczyszczania i dystrybucji wody. Na szczęście pracownicy oczyszczalni szybko zidentyfikowali zagrożenie, odwrócili szkodliwe zmiany i poziomy przepływu wody, minimalizując skutki ingerencji cyberprzestępców. Przedsiębiorstwo zapewnia, że korzystający z bieżącej wody nie odczuli skutków ataku.

Nie znaleziono żadnego uzasadnienia dla tej ingerencji. Prawdopodobnie hakerom brakowało wiedzy o działaniu oczyszczalni, która pozwoliłaby na spowodowanie prawdziwych szkód. Być może nie mieli w ogóle takiego zamiaru. Co więcej, hakerzy weszli w posiadanie danych blisko 2,5 mln klientów oczyszczalni. Nie ma jednak dowodów, że dane zostały sprzedane lub w inny sposób wykorzystane przeciwko klientom.

Analitycy z firmy Verizon Security Solutions odcięli system zarządzania oczyszczalnią od sieci i kompletnie go przebudowali. Dzięki temu zagrożenie ma być już na zawsze wyeliminowane. Konieczna będzie też aktualizacja starego oprogramowania. W raporcie podkreślają, że krytyczne zasoby niezbędne do funkcjonowania oczyszczalni powinny zostać kategorycznie odizolowane od reszty systemu, w tym od systemu płatniczego.

Opisujący zdarzenie dziennikarz portalu "The A Register" John Leyden konstatuje, że cały incydent pokazuje ogromne słabości programów ochrony krytycznej infrastruktury, które często  opierają się na przestarzałych systemach. Pokutuje opinia, że tego typu instalacje są niemożliwe do spenetrowania, bo w większości nie są podłączone do Internetu. Poza tym na systemy bezpieczeństwa notorycznie brakuje pieniędzy. Dziennikarz przypomniał inne ataki na krytyczną infrastrukturę.

W grudniu 2015 r. ukraiński system energetyczny został zainfekowany przez trojan Black Energy, który spowodował m.in. wyłączenie dostaw prądu dla połowy populacji regionu Iwano-Frankowska (dawn. Stanisławów). Bez energii pozostały 103 miasta i miasteczka.  W 2014 r. z powodu cyberataku ucierpiała huta stali w Niemczech. Hakerzy doprowadzili do awaryjnego wygaszenia pieca i ogromnych zniszczeń w infrastrukturze sieci.