Postřehy z bezpečnosti: útoky na SCADA/ICS, aneb hackeři řídí průmysl

Jaroslav Kodet 18. 1. 2016

V tomto díle se budeme podrobněji zabývat vývojem vyšetřování kolem napadení řídícího systému ukrajinské elektrizační sítě z konce minulého roku, evergreenem poslední doby – bezpečností chytrých věcí, či ransomwarem, který neumožňuje dešifrování zakódovaných dat, a v závěru ještě zranitelnosti OpenSSH.

V návaznosti na minulé Postřehy Martina Čmelíka se budeme dále zabývat novými poznatky z vyšetřování napadení řídicího systému ukrajinské elektrizační sítě z konce minulého roku. Hackeři k tomuto účelu použili malware příznačně nazvaný BlackEnergy. Bezpečnost řídicích systémů technologických procesů (SCADA/ICS) je pro tyto procesy klíčová vzhledem ke skutečnosti, že tyto systémy jsou vyhledávaným cílem (zejména cizím státem sponzorovaných) kyberútoků.

Ponecháme-li stranou, že samotný „blackout“ způsobuje značné škody národnímu hospodářství jako celku i jednotlivým firmám, je zde také možnost, že celý kyberútok může být použit jako „kouřová clona“ pro jiné akce, podobně jako to bylo populárně zpracováno v hollywoodském filmu Swordfish (česky Operace hacker).

Výpadky, respektive ovládnutí SCADA systémů zvenčí, mohou vyvolat i další ohrožení „nekybernetického“ druhu. Přerušení technologických procesů může mít katastrofální následky. Zabrousíme-li do minulosti, můžeme si připomenout, že podobný útok byl veden proti íránskému jadernému programu prostřednictvím malwaru Stuxnet, jehož primárním cílem bylo odstavit centrifugy používané při separaci izotopů uranu. Stuxnet se tak zapsal do dějin jako první známá zbraň kybernetické války (spekulovalo se o účasti tajných služeb USA a Izraele). Nepřekvapí tedy úvaha, že i v případě útoku na elektrizační síť Ukrajiny se jedná o útok sponzorovaný v tomto případě pro změnu vládou Ruské federace.

Po Stuxnetu vývoj podobného softwaru pochopitelně neskončil. Na veřejnost pronikly zprávy o podobně zacílených malwarech jménem Industry, Havex, Shamoon, BlackEnergy a dalších. Ukrajinská elektrizační síť byla napadena speciálně upravenou variantou malwaru BlackEnergy.

Malware BlackEnergy je modulární „trojský kůň“, který si umí stáhnout potřebné komponenty pro plnění různých úkolů. Starší varianta tohoto trojana byla použita již v roce 2014, kdy byla uskutečněna série kyberšpionážních útoků proti ukrajinským vládním cílům. Při útocích z konce roku 2015 však tento trojan nebyl použit pouze pro shromažďování dat, ale také pro vyřazení počítačových systémů z provozu pomocí následně staženého a instalovaného destruktivního trojského koně KillDisk. Ke komunikaci s řídicími centry byl pravděpodobně použit jednoduchý SSH server identifikující se jako Dropbear SSH. Pomocí tohoto útočného scénáře bylo postupně odstaveno několik distribučních uzlů elektrizační sítě, což mělo za následek výpadek dodávky elektřiny na rozsáhlé části území Ukrajiny.

Ačkoli je KillDisk určitě nebezpečný malware, v rámci vyšetřování tohoto napadení se ukazuje, že s nejvyšší pravděpodobností nebyl primární příčinou zmíněných výpadků elektrizační sítě. Podle bezpečnostních expertů ze SANS ICS je pravděpodobnější scénář takový, že hackeři napadli přes infikované pracovní stanice servery, na kterých byly provozovány SCADA/ICS, prostřednictvím malwaru poškozujícího hostitelské servery, a trojan KillDisk byl použit až v závěru celé akce k „zametení stop“. Dodávka elektrické energie byla obnovena po cca 3–6 hodinách v manuálním režimu, a to z důvodu značného poškození SCADA/ICS systémů, které by za normálních okolností měly být schopny automatického zotavení v krátké době. Zdá se, že samotný výpadek byl proveden manuálně po získání přístupu k SCADA/ICS systému za pomoci trojských koní. Za běžných okolností by totiž pouhé odstavení SCADA systému nemělo vyvolat výpadek.

Bezpečnostní analytici se shodují na tom, že podobným útokům na SCADA/ICS systémy bylo možno předejít dodržováním základních pravidel pro bezpečné nakládání s e-maily a přiloženými soubory z nedůvěryhodných zdrojů.

Naše postřehy

Pozor na „chytré věci“: víte že heslo do vaší Wi-Fi sítě může prozradit i „chytrý zvonek u dveří“? Stačí k tomu odmontovat zvonek a zmáčknout oranžové tlačítko z druhé strany. Tím zařízení přepnete do AP módu a připojíte se k němu a zadáte specifickou URL, která obsahuje konfiguraci v čitelné podobě, a to včetně hesla k domácí Wi-Fi síti. A když už jsme u toho internetu věcí, co třeba hacknutá webkamerka?

Jako by nebylo dost zlé, když jste napadeni ransomwarem, čerstvou novinkou je ransomware, který vám neumožní rozšifrování zakódovaných dat, ani kdyby to jeho operátor chtěl. On totiž nemůže – klíč k dešifrování má totiž zašifrovaný pouze tím stejným klíčem. Je to samozřejmě chyba v algoritmu, ale to vám data nezachrání. Prostě lidé se dělí na dvě skupiny – ti, kteří často a pravidelně zálohují, a ti, kteří ještě nikdy nepřišli o cenná data.

Další upozornění se týká chyby OpenSSH. Kromě již na Rootu publikované zranitelnosti umožnující získání privátního klíče komunikace pomocí nedokumentované funkce roaming byla v tomto týdnu publikována nová zranitelnost typu „buffer overflow“ (CVE-2016–0777), která útočníkovi umožní útok typu „man in the middle“.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,38

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
DigiZone.cz: Mafra varuje před stíháním za pomluvu

Mafra varuje před stíháním za pomluvu

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

DigiZone.cz: Druhá anglická liga pro Digi TV

Druhá anglická liga pro Digi TV

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Vitalia.cz: Ministerstvo: tyto příbory jsou nebezpečné

Ministerstvo: tyto příbory jsou nebezpečné

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Podnikatel.cz: Rošáda v živnostech. Týká se vás?

Rošáda v živnostech. Týká se vás?

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Podnikatel.cz: Heureka pod Rockaway? Tohle musí splnit

Heureka pod Rockaway? Tohle musí splnit

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Vitalia.cz: SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou