Postřehy z bezpečnosti: útoky na SCADA/ICS, aneb hackeři řídí průmysl

Jaroslav Kodet 18. 1. 2016

V tomto díle se budeme podrobněji zabývat vývojem vyšetřování kolem napadení řídícího systému ukrajinské elektrizační sítě z konce minulého roku, evergreenem poslední doby – bezpečností chytrých věcí, či ransomwarem, který neumožňuje dešifrování zakódovaných dat, a v závěru ještě zranitelnosti OpenSSH.

V návaznosti na minulé Postřehy Martina Čmelíka se budeme dále zabývat novými poznatky z vyšetřování napadení řídicího systému ukrajinské elektrizační sítě z konce minulého roku. Hackeři k tomuto účelu použili malware příznačně nazvaný BlackEnergy. Bezpečnost řídicích systémů technologických procesů (SCADA/ICS) je pro tyto procesy klíčová vzhledem ke skutečnosti, že tyto systémy jsou vyhledávaným cílem (zejména cizím státem sponzorovaných) kyberútoků.

Ponecháme-li stranou, že samotný „blackout“ způsobuje značné škody národnímu hospodářství jako celku i jednotlivým firmám, je zde také možnost, že celý kyberútok může být použit jako „kouřová clona“ pro jiné akce, podobně jako to bylo populárně zpracováno v hollywoodském filmu Swordfish (česky Operace hacker).

Výpadky, respektive ovládnutí SCADA systémů zvenčí, mohou vyvolat i další ohrožení „nekybernetického“ druhu. Přerušení technologických procesů může mít katastrofální následky. Zabrousíme-li do minulosti, můžeme si připomenout, že podobný útok byl veden proti íránskému jadernému programu prostřednictvím malwaru Stuxnet, jehož primárním cílem bylo odstavit centrifugy používané při separaci izotopů uranu. Stuxnet se tak zapsal do dějin jako první známá zbraň kybernetické války (spekulovalo se o účasti tajných služeb USA a Izraele). Nepřekvapí tedy úvaha, že i v případě útoku na elektrizační síť Ukrajiny se jedná o útok sponzorovaný v tomto případě pro změnu vládou Ruské federace.

Po Stuxnetu vývoj podobného softwaru pochopitelně neskončil. Na veřejnost pronikly zprávy o podobně zacílených malwarech jménem Industry, Havex, Shamoon, BlackEnergy a dalších. Ukrajinská elektrizační síť byla napadena speciálně upravenou variantou malwaru BlackEnergy.

Malware BlackEnergy je modulární „trojský kůň“, který si umí stáhnout potřebné komponenty pro plnění různých úkolů. Starší varianta tohoto trojana byla použita již v roce 2014, kdy byla uskutečněna série kyberšpionážních útoků proti ukrajinským vládním cílům. Při útocích z konce roku 2015 však tento trojan nebyl použit pouze pro shromažďování dat, ale také pro vyřazení počítačových systémů z provozu pomocí následně staženého a instalovaného destruktivního trojského koně KillDisk. Ke komunikaci s řídicími centry byl pravděpodobně použit jednoduchý SSH server identifikující se jako Dropbear SSH. Pomocí tohoto útočného scénáře bylo postupně odstaveno několik distribučních uzlů elektrizační sítě, což mělo za následek výpadek dodávky elektřiny na rozsáhlé části území Ukrajiny.

Ačkoli je KillDisk určitě nebezpečný malware, v rámci vyšetřování tohoto napadení se ukazuje, že s nejvyšší pravděpodobností nebyl primární příčinou zmíněných výpadků elektrizační sítě. Podle bezpečnostních expertů ze SANS ICS je pravděpodobnější scénář takový, že hackeři napadli přes infikované pracovní stanice servery, na kterých byly provozovány SCADA/ICS, prostřednictvím malwaru poškozujícího hostitelské servery, a trojan KillDisk byl použit až v závěru celé akce k „zametení stop“. Dodávka elektrické energie byla obnovena po cca 3–6 hodinách v manuálním režimu, a to z důvodu značného poškození SCADA/ICS systémů, které by za normálních okolností měly být schopny automatického zotavení v krátké době. Zdá se, že samotný výpadek byl proveden manuálně po získání přístupu k SCADA/ICS systému za pomoci trojských koní. Za běžných okolností by totiž pouhé odstavení SCADA systému nemělo vyvolat výpadek.

Bezpečnostní analytici se shodují na tom, že podobným útokům na SCADA/ICS systémy bylo možno předejít dodržováním základních pravidel pro bezpečné nakládání s e-maily a přiloženými soubory z nedůvěryhodných zdrojů.

Naše postřehy

Pozor na „chytré věci“: víte že heslo do vaší Wi-Fi sítě může prozradit i „chytrý zvonek u dveří“? Stačí k tomu odmontovat zvonek a zmáčknout oranžové tlačítko z druhé strany. Tím zařízení přepnete do AP módu a připojíte se k němu a zadáte specifickou URL, která obsahuje konfiguraci v čitelné podobě, a to včetně hesla k domácí Wi-Fi síti. A když už jsme u toho internetu věcí, co třeba hacknutá webkamerka?

Jako by nebylo dost zlé, když jste napadeni ransomwarem, čerstvou novinkou je ransomware, který vám neumožní rozšifrování zakódovaných dat, ani kdyby to jeho operátor chtěl. On totiž nemůže – klíč k dešifrování má totiž zašifrovaný pouze tím stejným klíčem. Je to samozřejmě chyba v algoritmu, ale to vám data nezachrání. Prostě lidé se dělí na dvě skupiny – ti, kteří často a pravidelně zálohují, a ti, kteří ještě nikdy nepřišli o cenná data.

Další upozornění se týká chyby OpenSSH. Kromě již na Rootu publikované zranitelnosti umožnující získání privátního klíče komunikace pomocí nedokumentované funkce roaming byla v tomto týdnu publikována nová zranitelnost typu „buffer overflow“ (CVE-2016–0777), která útočníkovi umožní útok typu „man in the middle“.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

DigiZone.cz: Sázka na e-sporty stanici Prima vychází

Sázka na e-sporty stanici Prima vychází

120na80.cz: Paralen z benzínky

Paralen z benzínky

DigiZone.cz: Oživení ekonomiky by mělo navýšit reklamu

Oživení ekonomiky by mělo navýšit reklamu

Vitalia.cz: Za zánět močových cest mohou plavky

Za zánět močových cest mohou plavky

Podnikatel.cz: Eshop z ČR v Rumunsku? Žádná legrace

Eshop z ČR v Rumunsku? Žádná legrace

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Podnikatel.cz: Nereaguje na výzvu ČOIky, zaplatí milion

Nereaguje na výzvu ČOIky, zaplatí milion

Měšec.cz: Cool karta: recenze předplacenky

Cool karta: recenze předplacenky

Lupa.cz: V Praze se otevřel první podnik s virtuální realitou

V Praze se otevřel první podnik s virtuální realitou

Podnikatel.cz: Místa, kde hází podnikání klacky pod nohy

Místa, kde hází podnikání klacky pod nohy

Podnikatel.cz: Účtenky v rámci EET? Klidně emailem

Účtenky v rámci EET? Klidně emailem

DigiZone.cz: Epson: 4K projektory s podporou HDR

Epson: 4K projektory s podporou HDR

Podnikatel.cz: Přiznal prodej padělků. Pokuta ho nemine

Přiznal prodej padělků. Pokuta ho nemine

Podnikatel.cz: Fotogalerie: Jesenka už má skoro 50 let

Fotogalerie: Jesenka už má skoro 50 let

120na80.cz: Nyní středně velké riziko

Nyní středně velké riziko

Podnikatel.cz: Daň z nemovitosti? Změny budou v říjnu

Daň z nemovitosti? Změny budou v říjnu

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl