Postřehy z bezpečnosti: útoky na SCADA/ICS, aneb hackeři řídí průmysl

Jaroslav Kodet 18. 1. 2016

V tomto díle se budeme podrobněji zabývat vývojem vyšetřování kolem napadení řídícího systému ukrajinské elektrizační sítě z konce minulého roku, evergreenem poslední doby – bezpečností chytrých věcí, či ransomwarem, který neumožňuje dešifrování zakódovaných dat, a v závěru ještě zranitelnosti OpenSSH.

V návaznosti na minulé Postřehy Martina Čmelíka se budeme dále zabývat novými poznatky z vyšetřování napadení řídicího systému ukrajinské elektrizační sítě z konce minulého roku. Hackeři k tomuto účelu použili malware příznačně nazvaný BlackEnergy. Bezpečnost řídicích systémů technologických procesů (SCADA/ICS) je pro tyto procesy klíčová vzhledem ke skutečnosti, že tyto systémy jsou vyhledávaným cílem (zejména cizím státem sponzorovaných) kyberútoků.

Ponecháme-li stranou, že samotný „blackout“ způsobuje značné škody národnímu hospodářství jako celku i jednotlivým firmám, je zde také možnost, že celý kyberútok může být použit jako „kouřová clona“ pro jiné akce, podobně jako to bylo populárně zpracováno v hollywoodském filmu Swordfish (česky Operace hacker).

Výpadky, respektive ovládnutí SCADA systémů zvenčí, mohou vyvolat i další ohrožení „nekybernetického“ druhu. Přerušení technologických procesů může mít katastrofální následky. Zabrousíme-li do minulosti, můžeme si připomenout, že podobný útok byl veden proti íránskému jadernému programu prostřednictvím malwaru Stuxnet, jehož primárním cílem bylo odstavit centrifugy používané při separaci izotopů uranu. Stuxnet se tak zapsal do dějin jako první známá zbraň kybernetické války (spekulovalo se o účasti tajných služeb USA a Izraele). Nepřekvapí tedy úvaha, že i v případě útoku na elektrizační síť Ukrajiny se jedná o útok sponzorovaný v tomto případě pro změnu vládou Ruské federace.

Po Stuxnetu vývoj podobného softwaru pochopitelně neskončil. Na veřejnost pronikly zprávy o podobně zacílených malwarech jménem Industry, Havex, Shamoon, BlackEnergy a dalších. Ukrajinská elektrizační síť byla napadena speciálně upravenou variantou malwaru BlackEnergy.

Malware BlackEnergy je modulární „trojský kůň“, který si umí stáhnout potřebné komponenty pro plnění různých úkolů. Starší varianta tohoto trojana byla použita již v roce 2014, kdy byla uskutečněna série kyberšpionážních útoků proti ukrajinským vládním cílům. Při útocích z konce roku 2015 však tento trojan nebyl použit pouze pro shromažďování dat, ale také pro vyřazení počítačových systémů z provozu pomocí následně staženého a instalovaného destruktivního trojského koně KillDisk. Ke komunikaci s řídicími centry byl pravděpodobně použit jednoduchý SSH server identifikující se jako Dropbear SSH. Pomocí tohoto útočného scénáře bylo postupně odstaveno několik distribučních uzlů elektrizační sítě, což mělo za následek výpadek dodávky elektřiny na rozsáhlé části území Ukrajiny.

Ačkoli je KillDisk určitě nebezpečný malware, v rámci vyšetřování tohoto napadení se ukazuje, že s nejvyšší pravděpodobností nebyl primární příčinou zmíněných výpadků elektrizační sítě. Podle bezpečnostních expertů ze SANS ICS je pravděpodobnější scénář takový, že hackeři napadli přes infikované pracovní stanice servery, na kterých byly provozovány SCADA/ICS, prostřednictvím malwaru poškozujícího hostitelské servery, a trojan KillDisk byl použit až v závěru celé akce k „zametení stop“. Dodávka elektrické energie byla obnovena po cca 3–6 hodinách v manuálním režimu, a to z důvodu značného poškození SCADA/ICS systémů, které by za normálních okolností měly být schopny automatického zotavení v krátké době. Zdá se, že samotný výpadek byl proveden manuálně po získání přístupu k SCADA/ICS systému za pomoci trojských koní. Za běžných okolností by totiž pouhé odstavení SCADA systému nemělo vyvolat výpadek.

Bezpečnostní analytici se shodují na tom, že podobným útokům na SCADA/ICS systémy bylo možno předejít dodržováním základních pravidel pro bezpečné nakládání s e-maily a přiloženými soubory z nedůvěryhodných zdrojů.

Naše postřehy

Pozor na „chytré věci“: víte že heslo do vaší Wi-Fi sítě může prozradit i „chytrý zvonek u dveří“? Stačí k tomu odmontovat zvonek a zmáčknout oranžové tlačítko z druhé strany. Tím zařízení přepnete do AP módu a připojíte se k němu a zadáte specifickou URL, která obsahuje konfiguraci v čitelné podobě, a to včetně hesla k domácí Wi-Fi síti. A když už jsme u toho internetu věcí, co třeba hacknutá webkamerka?

Jako by nebylo dost zlé, když jste napadeni ransomwarem, čerstvou novinkou je ransomware, který vám neumožní rozšifrování zakódovaných dat, ani kdyby to jeho operátor chtěl. On totiž nemůže – klíč k dešifrování má totiž zašifrovaný pouze tím stejným klíčem. Je to samozřejmě chyba v algoritmu, ale to vám data nezachrání. Prostě lidé se dělí na dvě skupiny – ti, kteří často a pravidelně zálohují, a ti, kteří ještě nikdy nepřišli o cenná data.

Další upozornění se týká chyby OpenSSH. Kromě již na Rootu publikované zranitelnosti umožnující získání privátního klíče komunikace pomocí nedokumentované funkce roaming byla v tomto týdnu publikována nová zranitelnost typu „buffer overflow“ (CVE-2016–0777), která útočníkovi umožní útok typu „man in the middle“.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Lupa.cz: Kdy se Estonec přihlásí k české datové schránce?

Kdy se Estonec přihlásí k české datové schránce?

Vitalia.cz: Skutečně zdravá škola je ve 160 školách zdarma

Skutečně zdravá škola je ve 160 školách zdarma

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

DigiZone.cz: Prima a vznik slovenského kanálu

Prima a vznik slovenského kanálu

DigiZone.cz: Fotbal na O2 TV Sport posiluje

Fotbal na O2 TV Sport posiluje

Vitalia.cz: Co potřebujete vědět o zubech moudrosti?

Co potřebujete vědět o zubech moudrosti?

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?