Atak prorosyjskiej grupy na polski wodociąg. Mamy nowe ustalenia

30 czerwca br. opublikowaliśmy artykuł poświęcony atakowi na SUW Szczytno. Kilka dni później przekazaliśmy, że CSIRT NASK informował zaatakowany podmiot o widoczności z poziomu sieci.

„Informację dotyczącą widoczności narzędzi SUW Szczytno z poziomu Internetu zespół CSIRT NASK odkrył w ramach działań własnych. (…) Informacja od CSIRT NASK trafiła do podmiotu oraz właściwych służb już w połowie lutego tego roku” - wskazał wówczas NASK.

Niecały tydzień po opisanu zdarzenia dowiedzieliśmy się, że 28 lutego CSIRT NASK poinformował CSIRT GOV o publicznie dostępnej instalacji SUW Szczytno. Skierowaliśmy pytania dotyczące incydentu do wszystkich znanych nam podmiotów, które odpowiadały za obiekty o nazwie „SUW Szczytno”.

Urząd Miasta Szczytno (woj. warmińsko-mazurskie) przekazał nam, że w lutym spółka miejska odpowiedzialna za wodociągi otrzymała informację uprzedzającą od „CERT NASK” o „możliwych ruchach w zakresie prób naruszenia bezpieczeństwa wodociągowego”, jednocześnie nie stwierdzając luk w zabezpieczeniach. UM Szczytno oraz miejska spółka stanowczo zaprzeczyły temu, że doszło do jakiegokolwiek incydentu bezpieczeństwa.

Postanowiliśmy poszukać pewnych poszlak ku temu, gdzie miał miejsce omawiany incydent. W lipcu br. opisaliśmy stan posiadanej wiedzy na ten moment, nie wskazując jednoznacznie, gdzie doszło do incydentu.

SUW Szczytno, ale jakie Szczytno?

Stacja uzdatniania wody w warmińsko-mazurskim Szczytnie wykorzystywała urządzenia od firmy ABT, co można znaleźć na stronie przedsiębiorstwa.

„Niewątpliwie pomiędzy ABT a Zakładem Urządzeń Inżynierii Sanitarnej „Dynamik Filtr” Nocoń i Wspólnicy spółka jawna z siedzibą w Częstochowie, które wykonało dokumentację projektową istnieją powiązania osobowe” - stwierdzono w orzeczeniu Krajowej Izby Odwoławczej z 8 października 2009 roku.

Potwierdzałoby to w dużej mierze tezę z poprzedniego artykułu, że za wykonanie SUW Szczytno (woj. warmińsko-mazurskie) współodpowiada Dynamik Filtr. To oczywiście jakkolwiek nie potwierdza ataku na tę jednostkę, pomimo wskazania tej firmy przez cyberprzestępców, którym nie wolno wierzyć „na słowo”.

W ramach wielogodzinnych analiz dokumentacji przetargowych udało się nam dotrzeć do dokumentów w Biuletynie Informacji Publicznej Gminy Załuski (woj. mazowieckie, powiat płoński), gdzie również istnieje obiekt o nazwie „SUW Szczytno”. W opisie technicznym zamówienia możemy znaleźć następujące urządzenia:

• pompa głębinowa Nr 2 SP 46-4, 400 V - 7.5 kW;
• pompa głębinowa Nr 3 SP 46- 3C, 400 V - 4,0 kW;
• pompa głębinowa Nr 4 – pompa SP 46 -4, 400 V - 7,5 kW;
• sprężarka KTC 401 -250 St 2 x 2,4 kW, 400 V - 4,8 kW;
• zestaw hydroforowy ZH –CR/MP 4.20.4, 400 V - 22.0 kW;
• pompa płuczna TP 125-130/4, 400 V - 5.5 kW;
• dmuchawa DIC 83H, 400 V - 5.5 kW;
• chlorator C-53 +zestaw, 400 V - 0.4 kW.

W lipcowej analizie oparliśmy się przede wszystkim na wartościach liczbowych, widoczych na nagraniu, które korespondowały z SUW Szczytno z woj. warmińsko-mazurskiego. Suma wartości przepływu wody na nagraniu różniła się o około 2% względem wartości opisanych na stronie miejskiej spółki wodociągowej.

Jeśli pominiemy tę wartość oraz skupimy się wyłącznie na obecnych urządzeniach, widzimy wprost, że wymienione narzędzia instalacji SUW Szczytno z Gminy Załuski znalazły się na wizualizacji, która umożliwiała cyberprzestępcom zarządzanie parametrami.

Dalsze pokrewieństwo

Na zrzucie ekranu zaatakowanej jednostki widzimy również nietypowe oznaczenia pomp głębinowych - SW2, SW3 oraz SW4. Jest to w pełni zgodne ze stanem opisywanym w przetargu na rozbudowę SUW Szczytno w Gminie Załuski (woj. mazowieckie). Jednocześnie wiemy, że woda w SUW Szczytno w woj. warmińsko-mazurskim jest czerpana z siedmiu ujęć.

Wspomniane oznaczenia pomp można zlokalizować w obrazach dołączonych do ogłoszenia przetargu.

Zasięg SUW-u

Z komunikatu płońskiego sanepidu możemy dowiedzieć się, że Stacja Uzdatniania Wody Szczytno (woj. mazowieckie) zaopatrywała w wodę około 4720 mieszkańców z 23 miejscowości gminy Załuski (stan na 2023 rok). Dotychczas nieznane są jakiekolwiek przestoje w dostarczaniu wody czy inne skutki incydentu.

W 2017 roku Urząd Gminy Załuski opublikował post na Facebooku w związku z otwarciem SUW Szczytno po renowacji.

„Ukończona inwestycja polegająca na rozbudowie i modernizacji stacji uzdatniania wody wraz z budową nowej studni głębinowej, miała na celu poprawę jakości i zwiększenie ilości dostarczanej wody dla połowy terenu Gminy Załuski. W ostatnich latach, czasie w miesiący letnich, występujące duże spadki ciśnienia wody w sieci, powodowały że w części gminy obsługiwanej przez stację Szczytno, miały miejsce całkowite braki wody w kranach mieszkańców” - stwierdzono wówczas na portalu Mety.

Maksymalne wydajności SUW, według wspomnianego posta, wynosiły 109 m3 na godzinę oraz średnio 1110 m3 na dobę. Jest to ok. trzykrotnie mniej niż w SUW Szczytno w woj. warmińsko mazurskim (ok. 3,3 tys. m3/doba).

Co dalej?

Poniższy fragment może mieć częściowo charakter osobisty i odbiegać od obiektywnej relacji dziennikarskiej

Osobiście, sprawa SUW Szczytno wracała do mnie co jakiś czas, ponieważ praktycznie niemożliwym było wystąpienie takiego incydentu bez zarejestrowania zmian w działaniu urządzeń. Zdarzenie dobrze pokazuje, że pomimo wystąpienia wielu podobieństw i pozornych poszlak, kluczowe pozostaje oczekiwanie na wyjaśnienie incydentu.

Dziękuję UM Szczytno oraz PWiK Aqua za cierpliwe oraz profesjonalne odpowiadanie na trudne pytania, pomimo tego, że od samego początku wskazywali, iż incydent nie dotyczy ich jednostki.

Przed jednoznacznym wskazaniem obiektu warto mieć niepodważalne dowody, dlatego w lipcowym artykule nie wskazano zaatakowanego obiektu, pomimo analizy skupionej w dużej mierze na największym obiekcie tego typu z racji na korespondujące ze sobą wartości liczbowe. Incydent pokazuje również propagandowe chęci haktywistów podczas takich zdarzeń.

3 lipca wysłaliśmy zapytanie mailowe do UG Załuski w sprawie omawianych zdarzeń. Dotychczas nie otrzymaliśmy odpowiedzi.

Będziemy dążyć do dalszego wyjaśniania sprawy, w tym realnych skutków incydentu. Niektóre publicznie dostępne informacje pokazują, że incydent może mieć dłuższy horyzont czasowy, co zapewne będzie przez nas opisywane w przyszłości.

Subiektywnie podsumowując: większość parametrów wskazuje na to, że atak SUW Szczytno dotyczył jednostki w woj. mazowieckim, nie zaś w woj. warmińsko-mazurskim. Będziemy kontaktować się z odpowiednimi organizacjami w celu oficjalnego potwierdzenia lub ewentualnego wykluczenia takiego stanu rzeczy.

Warto przy tym dodać, że wciąż pesymistyczne zostaje to, że zaatakowany podmiot miał otrzymać informację od CSIRT NASK o widoczności z poziomu sieci na minimum dwa miesiące przed incydentem (wg dat z nagrania). Oczywiście mowa tutaj o braku zmiany tego stanu rzeczy przez podmiot dotknięty incydentem.