USA: zarzuty za prorosyjskie ataki na wodociągi. Grupa była aktywna w Polsce

9 grudnia amerykański DOJ poinformował o wydaniu dwóch aktów oskarżenia dla 33-letniej Wiktorii Dubranowej. Obywatelka Ukrainy miała działać w ramach prorosyjskich grup haktywistów. Kobieta używająca pseudonimów „Vika”, „Tory” czy „SovaSonya” jest podejrzewana o współudział w przeprowadzaniu „cyberataków i włamań do systemów komputerowych, wymierzonych w infrastrukturę krytyczną oraz inne cele na całym świecie, aby wspierać geopolityczne interesy Rosji”. Dubranowa miała uczestniczyć w 99 działaniach zmierzających do popełnienia przestępstwa (ang. overt acts).

Co mówi akt oskarżenia?

W akcie oskarżenia możemy przeczytać o dwóch grupach haktywistów: ”CyberArmyofRussia_Reborn” (CARR) oraz Z-Pentest. Na rządowej stronie można również przeczytać o zarzutach związanych z działalnością NoName057(16).

W dokumencie wymieniono 44 działania (ang. overt act) dotyczące współudziału w przeprowadzaniu ataków DDoS. Aby nie wzmacniać efektu propagandowego haktywistów, nie zostaną opisane w artykule – zazwyczaj takie ataki polegają na krótkotrwałej niedostępności stron internetowych co wykazaliśmy w artykule odnośnie takich działań wymierzonych w polskie służby.

Co jednak najważniejsze – dokument wymienia 31 działań związanych z atakami na SCADA, czyli systemy związane z procesami technologicznymi.

Stacje uzdatniania wody i pakownia mięsa

Skala działań haktywistów oraz realne skutki dla odbiorców usług skłaniają do refleksji nad bezpieczeństwem automatyki przemysłowej (ICS/OT). W akcie oskarżenia wymieniono m.in.:

• 70: W dniu 18 stycznia 2024 r. oskarżony oraz współsprawcy naruszyli bezpieczeństwo publicznego systemu wodociągowego w Teksasie, manipulując nastawami (wartościami zadanymi) zbiorników magazynowych wody i uruchamiając 22 studnie, co spowodowało przelanie się nieustalonej ilości wody pitnej;
• 75: W dniu 24 lipca 2024 r. oskarżony oraz współsprawcy naruszyli bezpieczeństwo instalacji uzdatniania wody na składowisku odpadów w Pensylwanii, manipulując pompami oraz poziomami zanieczyszczenia kwasem nadoctowym;
• 76: W okresie od 14 do 17 sierpnia 2024 r. oskarżony oraz współsprawcy naruszyli bezpieczeństwo instalacji naftowej w Oklahomie;
• 77: W okresie od 28 do 30 sierpnia 2024 r. oskarżony oraz współsprawcy naruszyli bezpieczeństwo innego publicznego systemu wodociągowego w Teksasie, zmieniając nastawy (wartości zadane) pomp i wyłączając system, co spowodowało przelanie się około 200 000 galonów wody (757 082 litrów – przyp. red.)
• 85: W dniu 31 października 2024 r. oskarżeni naruszyli bezpieczeństwo należącej do pokrzywdzonego spółki z sektora ropy i gazu w Kolorado, wyczerpując zapasy chemikaliów na miejscu poprzez zwiększenie dawek (tempa) wtrysku chemikaliów do odwiertów naftowych;
• 89: W dniu 1 listopada 2024 r. oskarżony naruszył bezpieczeństwo zakładu przetwórstwa mięsnego (pokrzywdzonego), wyłączając chłodzenie i doprowadzając do zepsucia ponad dwóch tysięcy funtów mięsa oraz wywołując wyciek amoniaku, co wymagało ewakuacji zakładu na ponad cztery godziny i spowodowało straty przekraczające 5 000 dolarów;
• 94: W okresie od 3 do 4 listopada 2024 r. oskarżony naruszył bezpieczeństwo dziecięcego parku wodnego w Holandii, manipulując temperaturą oraz innymi ustawieniami sterowania, w tym poziomami chlorowania.

Incydenty doskonale pokazują, że ataki na automatykę przemysłową mają realne skutki. Widzimy m.in. niekontrolowany przepływ wody czy realne skutki finansowe wskutek zepsucia się ok. 900 kilogramów mięsa.

A co z Polską?

Niestety nie będzie zaskoczeniem, że grupa była również aktywna na terytorium Rzeczpospolitej Polskiej. Mowa tutaj o atakach m.in. na:

• stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie (luty 2025);
• oczyszczalnię ścieków w Witkowie (maj 2025);
• SUW Jabłonna Lacka (wrzesień 2025);
• oczyszczalnię ścieków w Chodaczowie (październik 2025).

Choć obecnie nie wiemy, aby którykolwiek ze wspomnianych incydentów skutkował np. odcięciem wody, na stronie NASK znajduje się następujące stwierdzenie:

Rosyjska agresja w cyberprzestrzeni nie zna granic. W ostatnim czasie odnotowano przypadki prób włamań do systemów uzdatniania wody oraz oczyszczalni ścieków w różnych częściach Polski, m.in. w Wydminach, Kuźnicy, Tolkmicku czy Małdytach. Cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców
NASK

Dlaczego ataki miały miejsce?

W październiku ABW przekazało nam, że zaatakowane podmioty były widoczne z poziomu Internetu – do takiej sytuacji nigdy nie powinno dojść.

Dwa miesiące temu doszło również do ataku na stację regazyfikacji LNG – wystąpienie incydentu zostało potwierdzone przez NASK. Warto również przytoczyć zawiadomienie Pełnomocnika rządu ds. cyberbezpieczeństwa, wicepremiera Krzysztofa Gawkowskiego:

Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, informuje o rosnącej liczbie ataków na przemysłowe systemy sterowania (ICS/OT) dostępne z internetu. Zdarzenia te są często działaniami aktywistów, a ich celem jest zwrócenie uwagi mediów na udany atak. Co ważne, niektóre z tych ataków miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług
MC

W akcie oskarżenia nie wskazano polskich obiektów automatyki przemysłowej. Miejmy nadzieję, że działanie amerykańskiego wymiaru sprawiedliwości ukróci incydenty w sektorze wodno-kanalizacyjnym. Widzimy, że skutki działań prorosyjskich haktywistów mają przełożenie na nasz świat.

„(…) „Cyber\_1ce\_Killer” był powiązany co najmniej z jednym oficerem Głównego Zarządu Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU)” – stwierdzono w akcie oskarżenia Dubranowej, co pokazuje powiązania grup z rosyjskimi służbami specjalnymi.

Nie możemy ignorować takich incydentów, dlatego kluczowe jest odpowiedzialne informowanie o takich zdarzeniach – zarówno po stronie mediów i podmiotów publicznych.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.