Reklama

Atak prorosyjskiej grupy na wodociąg. CSIRT NASK informował o problemach w Szczytnie

Atak na SUW Szczytno. Tamtejsze wodociągi otrzymały informację o błędnej konfiguracji środowiska przed cyberatakiem
Atak na SUW Szczytno. Tamtejsze wodociągi otrzymały informację o błędnej konfiguracji środowiska przed cyberatakiem
Autor. Freepik.com

Prorosyjscy cyberprzestępcy od kilku miesięcy przeprowadzają ataki na polskie stacje uzdatniania wody oraz oczyszczalnie ścieków. Wielu z nich udaje się zapobiec, zanim haktywiści pochwalą się swoimi działaniami. Problem pojawia się jednak wtedy, kiedy dana organizacja najprawdopodobniej nie reaguje w należytym stopniu na informacje od CSIRT-ów.

Ataki na polską automatykę przemysłową (ICS/OT), w tym stacje uzdatniania wody i oczyszczalnie ścieków, to powtarzający się w ostatnich miesiącach schemat. Nie jesteśmy jednak bezbronni – w kwietniu br. wicepremier Krzysztof Gawkowski przekazał, że udało się odeprzeć 17 z 18 prób ataku z „ostatnich kilku dni”.

Celami ataków grupy blisko związanej z Federacją Rosyjską były m.in.:

Czytaj też

Reklama

Atak na wodociągi w Szczytnie

1 lipca br. informowaliśmy o kolejnej fali cyberataków na polską automatykę przemysłową, która miała miejsce najprawdopodobniej w maju. Dokładne daty niektórych z incydentów są niemożliwe lub bardzo trudne do ustalenia, ponieważ nagrania z wszystkich zostały opublikowane na początku czerwca.

Wśród zaatakowanych jednostek znalazło się również SUW Szczytno. Ekran cykli płukania wskazuje, że incydent miał miejsce w okolicach 7 maja.

Porównanie wartości na początku oraz na końcu nagrania
Porównanie wartości na początku oraz na końcu nagrania
Autor. Nagranie prorosyjskich haktywistów
Daty dotyczące cykli płukania
Daty dotyczące cykli płukania
Autor. Nagranie prorosyjskich haktywistów

Tego samego dnia na ulicy Ogrodowej w Szczytnie miała miejsce awaria sieci wodociągowej, skutkująca przerwą w dostawie wody. Obecnie nie można ze stuprocentową pewnością przypisać odpowiedzialności cyberprzestępcom za to zdarzenie. Skierowaliśmy pytania do odpowiednich organizacji w celu ustalenia, czy atak na SUW Szczytno odciął kogokolwiek od dostępu do wody.

Czytaj też

Reklama

Monitorowanie polskiej automatyki przemysłowej

Skierowaliśmy pytania także do NASK, ponieważ w strukturach tego instytutu badawczego działa CERT Polska, realizujący działania CSIRT NASK. Przekazano nam, że widoczność narzędzi SUW Szczytno z poziomu Internetu została odkryta w ramach działań własnych CSIRT-u.

„W ich trakcie monitorujemy polską przestrzeń adresową pod kątem występowania tego typu paneli i podejmujemy działania mające na celu informowanie ich właścicieli o zagrożeniu oraz o dobrych praktykach związanych z ich zabezpieczaniem” – powiadomił nas NASK.

W marcu br. Ministerstwo Cyfryzacji poinformowało o starcie projektu „Cyberbezpieczny wodociąg”. Wskazało także rolę projektu #BezpiecznyPrzemysł, gdzie do monitorowania urządzeń OT/IoT wykorzystuje się m.in. Shodana czy ZoomEye. Wyróżniono także programy Artemis i Arakis.

Oprócz tego CERT Polska opublikował w zeszłym roku rekomendacje dla wzmocnienia ochrony systemów OT, które zawierają m.in. praktyczne case study incydentu. Na początku br. stosowne zalecenia wystosował Pełnomocnik Rządu ds. Cyberbezpieczeństwa, Minister Cyfryzacji Krzysztof Gawkowski. Osobom odpowiedzialnym za bezpieczeństwo urządzeń ICS/OT zalecamy zapoznanie się z wspomnianymi opracowaniami.

Czytaj też

Reklama

Ktoś czuwa i woła, lecz kto słucha?

NASK w odpowiedzi na pytanie o incydent w SUW Szczytno przekazał nam następujące informacje:

Informację dotyczącą widoczności narzędzi SUW Szczytno z poziomu Internetu zespół CSIRT NASK odkrył w ramach działań własnych. (...) Informacja od CSIRT NASK trafiła do podmiotu oraz właściwych służb już w połowie lutego tego roku.
CSIRT NASK

Oznacza to, że SUW Szczytno został poinformowany o widoczności ich urządzeń z poziomu Internetu minimum kilka tygodni przed atakiem grupy cyberprzestępców. Nie wiemy, jakie działania zostały podjęte przez jednostkę w celu zwiększenia poziomu cyberbezpieczeństwa – niewykluczone, że nie poczyniono odpowiednich kroków, ponieważ cyberprzestępcom udało się manipulować parametrami stacji uzdatniania wody. Pozostaje mieć nadzieję, że nie doszło do zlekceważenia zaleceń CSIRT-u.

Warto tutaj odnotować, że CSIRT NASK wykrył zagrożenie przed zaistnieniem incydentu oraz poinformował jednostkę o problemie. Jest to ważny wskaźnik ku temu, że nasza infrastruktura ICS/OT jest odpowiednio monitorowana pod kątem zagrożeń.

Odcięcie dostępu z poziomu Internetu to podstawa dla urządzeń, które nie były projektowane z takimi założeniami, co często ma miejsce w systemach ICS/OT. Nie bez powodu właśnie ten aspekt został wymieniony na samym początku rekomendacji CERT Polska oraz wicepremiera Gawkowskiego.

Skierowaliśmy zapytania dotyczące wspomnianego incydentu do PWiK „Aqua” w Szczytnie oraz Urzędu Miasta Szczytno. Odpowiedzi niezwłocznie zamieścimy w kolejnym artykule.

Czytaj też

Reklama

Bez zaawansowanych narzędzi

O skali i powadze problemu niech (nieco metaforycznie) świadczy to, że rekomendacje CERT Polska mają „dużą, czerwoną ramkę”, nawołującą do wdrożenia rekomendacji:

Duża, czerwona, niepomijalna wzrokiem ramka
Duża, czerwona, niepomijalna wzrokiem ramka
Autor. CERT Polska

Cyberprzestępcy do znajdowania celów ataku nie muszą wcale wykorzystywać zaawansowanych narzędzi.

„Obserwujemy działania licznych grup, najczęściej prorosyjskich, które wykorzystując ogólnodostępne serwisy, takie jak Shodan, Zoomeye czy Censys, wyszukują urządzenia i aplikacje związane z przemysłowymi systemami sterowania” – stwierdzono w rekomendacjach CERT Polska.

Oby „Cyberbezpieczny wodociąg” zmienił ten stan rzeczy, zaś bezpieczeństwo sektora wodno-kanalizacyjnego znacząco wzrosło.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

SK@NER: Jak przestępcy czyszczą nasze konta?

Komentarze

    Reklama