Rosjanie zaatakowali polską elektrownię i wodociąg

Autor. CyberDefence24
Cyberataki na polskie wodociągi i oczyszczalnie są realnym zagrożeniem, co potwierdzają kolejne incydenty. Tym razem do tego grona dołączyła elektrownia wodna. Na celowniku cyberprzestępców był również m.in. bioreaktor oraz jedno z przedsiębiorstw.
Cyberataki na polską automatykę przemysłową (ICS/OT) są poważnym problemem. Warto przypomnieć incydenty w stacjach uzdatniania wody (Tolkmicko, Małdyty, Sierakowo) czy oczyszczalniach ścieków (Wydminy, Kuźnica).
W lutym br. opublikowano komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa, wicepremiera Krzysztofa Gawkowskiego, dotyczący ataków na przemysłowe systemy sterowania.
„Co ważne, niektóre z tych ataków miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług” – stwierdzono w piśmie ministra cyfryzacji.
W marcu dowiedzieliśmy się o programie „Cyberbezpieczny wodociąg”, którego celem jest „wzmocnienie cyberodporności przedsiębiorstw wodociągowo-kanalizacyjnych wykorzystujących technologie operacyjne (OT)”. Jak pokazuje praktyka, inwestycje w sektorze wodno-kanalizacyjnym są konieczne.
Czytaj też
Atak na stację uzdatniania wody
Na kanale prorosyjskich haktywistów ukazało się nagranie, na którym możemy zauważyć manipulowanie parametrami SUW Szczytno. Na filmie widać, że pochodzi on z okolic 7 maja br.

Autor. Nagranie prorosyjskich haktywistów

Autor. Nagranie prorosyjskich haktywistów
7 maja br. w Szczytnie wystąpiła awaria sieci wodociągowej, która dotyczyła ulicy Ogrodowej. Nie wiadomo, czy jest to związane ze wspomnianym incydentem – zawsze może być to przypadek, pomimo zbieżnych dat.
Jeśli okazałoby się, że awaria była skutkiem cyberataku, bylibyśmy świadkami realnego wpływu na życie codzienne Polaków. Obecnie nie ma ku temu jednoznacznego dowodu. Skierowaliśmy pytania do podmiotów odpowiedzialnych za dostarczanie wody w Szczytnie.
Czytaj też
Atak na bioreaktor i budynek przemysłowy
Na kolejnym nagraniu pokazano manipulowanie parametrami bioreaktora. Cyberprzestępcy wskazali, że dotyczy to podmiotu funkcjonującego w Nowym Mieście Lubawskim (Warmińsko-Mazurskie), lecz na filmie nie ma o tym żadnych informacji.
Wideo pochodzi z 9 maja br. Co ważne, nie wygląda na to, aby zmiana wartości przyniosła gwałtowne skutki w działaniu maszyn.
Kolejnym obiektem na celowniku cyberprzestępców był budynek polskiego przedsiębiorstwa, gdzie m.in. zmieniano temperaturę w pomieszczeniach.

Autor. Nagranie prorosyjskich haktywistów

Autor. Nagranie prorosyjskich haktywistów
Czytaj też
Atak na polską elektrownię wodną
Jeden z filmów pokazuje zmianę parametrów w polskiej elektrowni wodnej. Na nagraniu można zauważyć, że najprawdopodobniej była wyłączona – moc generowana wynosiła od początku zero kilowatów.
Warto podkreślić, że najprawdopodobniej atakujący nie uzyskali pełnej kontroli nad panelem kontrolnym. Niektóre z opcji na nagraniu widoczne są jako niedostępne.

Autor. Nagranie prorosyjskich haktywistów
Cyberprzestępcy wskazali „hydroelektrownię w Gdańsku” jako rzekomy cel ataku. Na nagraniu nie widać do jakiego obiektu włamali się atakujący. Praktycznie identyczny poziom wody może wskazywać na Elektrownię Wodną Bystrzyca, gdzie spad wynosi 6,7 metra – na filmie widnieje wartość 6,88 metra. Nie ma jednak dostatecznych dowodów na to, aby z pewnością stwierdzić, że nagranie dotyczy tego obiektu.
Również w tym przypadku skierowaliśmy pytania do odpowiednich spółek i instytucji w celu ustalenia miejsca incydentu.
Ataki na polską infrastrukturę krytyczną
Choć przez ostatnie kilka miesięcy faktyczna ilość cyberataków na wodociągi znacząco się zmniejszyła, nadal występują i zapewne podobne incydenty będą miały miejsce w przyszłości.
Obecnie wyzwaniem z gatunku „mission impossible” jest stuprocentowe zabezpieczenie infrastruktury na poziomie każdej gminy w kraju. Ważne jest jednak to, aby uwzględniać rekomendacje wicepremiera Krzysztofa Gawkowskiego dla urządzeń ICS/OT, które obejmują również podstawowe zalecenia, m.in. odcięcie dostępu do urządzeń z poziomu Internetu czy stosowanie dwuetapowego uwierzytelniania.
Miejmy nadzieję, że inwestycje w ramach programu „Cyberbezpieczny wodociąg” sprawią, że takie incydenty staną się przeszłością. W kwietniu tego roku dowiedzieliśmy się, że w przeciągu kilku dni udało się odeprzeć 17 z 18 takich ataków, co pokazuje skalę działań cyberprzestępców.
Incydenty zgłosiliśmy do CERT Polska.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
SK@NER: Jak przestępcy czyszczą nasze konta?