W bawarskiej elektrowni jądrowej Gundremmingen służby techniczne odkryły obecność wirusa komputerowego. Na szkodliwe oprogramowanie natrafiono w trakcie przygotowań do przeglądu bloku B siłowni - poinformował w poniedziałek zarząd elektrowni należącej do koncernu RWE, który w Polsce jest właścicielem spółki RWE Polska (dawniej Stołecznego Zakładu Energetycznego S.A./STOEN). Jak donosi "Frankfurter Allgemeine Zeitung", nie doszło do zagrożenia pracowników i okolicznej ludności, ponieważ wszystkie wrażliwe strefy elektrowni były odizolowane i niepołączone z Internetem. Jednak rada nadzorcza i Federalne Biuro Bezpieczeństwa Informacji (Bundesamt für Sicherheit in der Informationstechnik/BSI), które podlega ministrowi spraw wewnętrznych, zostały poinformowane o incydencie.
Specjaliści koncernu RWE muszą teraz wyjaśnić ponad wszelką wątpliwość w jaki sposób wirus dostał się do zmodernizowanego w 2008 r. systemu teleinformatycznego elektrowni w Gundremmingen. Na razie wiadomo, że zainfekowany system stanowi część instalacji do załudunku paliwa. W żadnym wypadku nie miał wpływu na sterowanie całą instalacją jądrową.
Według agencji Reutersa, która powołuje się na wstępne ustalenia koncernu RWE, wirusy obecne w systemie IT elektrowni w Gundremmingen to W32.Ramnit i Conficker. Odkryto je ponoć w systemie komputerowym wyposażonym w 2008 r. w oprogramowanie do wizualizacji danych związanych ze sprzętem do poruszania prętami nuklearnymi. Reuter doniósł też o złośliwym oprogramowaniu (malware), którego obecność stwierdzono na 18 wymiennych dyskach, głównie typu USB, instalowanych na komputerach biurowych odizolowanych od systemu operacyjnego elektrowni. RWE zapewniło, że w odpowiedzi na odkrycie wirusów w elektrowni w Gundremmingen podjęte zostały dodatkowe środki ostrożności
W ocenie specjalistów z firmy Symantec, wirus W32.Ramnit służy do kradzieży plików zainfekowanych komputerów używających systemu operacyjnego Windows. Odkryto go po raz pierwszy w 2010 r. Jest rozsiewany poprzez urządzenia typu data sticks. Jego zadaniem jest umożliwienie atakującemu przejęcia zdalnej kontroli nad systemem w przypadku połączenia z siecią Internet.
Conficker znany jest od 2008 r. W międzyczasie zdążył zainfekować miliony komputerów na całym świecie. Rozprzestrzenia się za pośrednictwem sieci i - jak informuje firma Symantec - potrafi samodzielnie skopiować się na przenośnych dyskach.
Sytuację w elektrowni należącej do RWE skomentował Jewgienij Kasperski, dyrektor generalny Kaspersky Lab - System kontroli przemysłowej wykorzystywany do załadunku paliwa jądrowego w niemieckiej elektrowni w Gundremmingen został zainfekowany szkodliwym programem. Mogę sobie wyobrazić, że w głowie każdej osoby, która to czyta, włączył się alarm. Niestety - taka sytuacja nie jest zaskakująca. Szczerze mówiąc, jestem zdziwiony, że nie czytamy częściej tego typu niepokojących informacji. Z tego, co wiemy, nie doszło do ataku ukierunkowanego na systemy elektrowni. Była to 'zwyczajna' infekcja, do która miała miejsce najprawdopodobniej w wyniku podłączenia zarażonego nośnika USB przez jednego z pracowników - takie informacje podały niemieckie media. Cała sytuacja dość dobrze obrazuje podstawowy problem współczesnych systemów - infrastruktura krytyczna jest tak samo podatna na ataki, jak każdy inny system podłączony do internetu. W podobnym ataku ucierpiał piec hutniczy (incydent został wykryty przez niemieckie Federalne Bezpieczeństwa Informacji - BSI). Był także Stuxnet, którego celem miało być fizyczne zniszczenie jednostek odpowiedzialnych za wzbogacanie uranu w Iranie. Operatorzy i regulatorzy muszą zrozumieć, że w czasach, gdy codziennie powstaje ponad 310 000 nowych szkodliwych programów, niektóre z nich mogą uszkodzić systemy, których pierwotnie wcale nie miały atakować. Musimy być gotowi zarówno na takie przypadki, jak i na ataki ukierunkowane" - oświadczył Kasperski, który 10 lat przed założeniem jednej z najbardziej znanych dzisiaj firm zajmujących bezpieczeństwem IT, ukończył studia na wydziale politechnicznym Wyższej Szkoły KGB w Moskwie (obecnie znanym jako Instytut Kryptografii, Łączności i Informatyki Akademi Federalnej Służby Bezpieczeństwa).
Reueters z kolei cytuje czołowego eksperta fińskiej firmy F-Secure Mikko Hypponena, który stwierdził, że infekcje wirusami komputerowymi infrastruktury krytycznej były zaskakująco powszechne, ale nie stanowiły one dotychczas zagrożenia, jeśli zainfekowane instalacje nie były przedmiotem celowego ataku.
Hypponen jako przykład podał niewymienionego z nazwy europejskiego producenta samolotów, który co tydzień musi oczyszczać kokpity maszyn ze złośliwego oprogramowania (malware) przeznaczonego do atakowania telefonów z systemem Android. Wirusy instalują się w samolotach z winy pracowników, którzy ładują swoje telefony komórkowe poprzez łącza USB w kokpitach. W samolotach - jak wyjaśnił przedstawiciel F-Secure - zainstalowany jest inny system operacyjny, któremu wirusy nie zagrażają, ale mogą się przenosić tą drogą na inne urządzenia podłączone do ładowania przez port USB.
W 2013 r. głośny był przypadek zainfekowania systemu kontroli turbin jednej z amerykańskich elektrowni, której personel techniczny podłączył zainfekowane urządzenie USB do sieci zakładu powodując jego unieruchomienie na okres trzech tygodni.
Cyberincydent w Gundremmingen na pewno odbije się głośnym echem w Niemczech, gdzie opinia publiczna jest szczególnie wrażliwa na punkcie zagrożeń środowiska naturalnego, a w parlamencie zasiadają przedstawiciele partii Zielonych, która od dawna domaga się zamknięcia reaktorów jądrowych. Tendencje te nasiliły się u naszych zachodnich sąsiadów po katastrofie w japońskiej elektrowni jądrowej w Fukushimie, która miała miejsce w 2011 r. Niewątpliwie na na wzrost poczucia zagrożenia Niemców w związku z energetyką jadrową wpływ będzie też miała koincydencja czasowa incydentu w Gundremmingen z obchodzoną we wtorek 26 kwietnia br. 30. rocznicą katastrofy w sowieckiej siłowni atomowej w Czarnobylu na Ukrainie.
A ataku pisaliśmy też rano: "W systemach elektrowni atomowej w Niemczech znaleziono wirusa".