W 2017 r. hakerzy przekroczyli krytyczną granicę

Fragment raportu z Przeglądu Technologicznego Instytutu Technologii w Massachusetts (MIT).

Julian Gutmanis, doświadczony cyberratownik, był wielokrotnie wzywany przez przedsiębiorstwa, by zaradzić skutkom cyberataków. Kiedy latem 2017 r. ten australijski konsultant ds. bezpieczeństwa przybył do zakładu petrochemicznego w Arabii Saudyjskiej, odkrył tam coś, co zmroziło mu krew w żyłach.

Hakerzy zainstalowali złośliwe oprogramowanie, które pozwoliło im przejąć kontrolę nad przyrządowymi systemami bezpieczeństwa. Te fizyczne urządzenia sterujące stanowią ostatnią linię obrony przed śmiertelnymi katastrofami. Mają one zadziałać w przypadku zaistnienia niebezpiecznych warunków; ich zadaniem jest przywrócenie bezpiecznego poziomu parametrów lub całkowite zatrzymanie przebiegających procesów poprzez aktywację zaworów odcinających i mechanizmów obniżających ciśnienie. Złośliwe oprogramowanie umożliwiło zdalne opanowanie tych systemów. Gdyby intruzi wyłączyli je lub poddali manipulacji, a następnie użyli innego programu do spowodowania awarii, konsekwencje byłyby straszne. Na szczęście błąd w kodzie zdemaskował hakerów, zanim zdążyli wyrządzić jakiekolwiek szkody.

W czerwcu 2017 r. systemy bezpieczeństwa zatrzymały pracę zakładu. W sierpniu sytuacja powtórzyła się. Pierwszą przerwę mylnie przypisano usterce mechanicznej. Po drugim zdarzeniu właściciele skontaktowali się z detektywami, którzy w trakcie śledztwa natknęli się na niebezpieczny program. Nadano mu nazwę „Triton” (lub „Trisis”), ponieważ zaatakował model kontrolera bezpieczeństwa Triconex wyprodukowany przez francuskie przedsiębiorstwo Schneider Electric. Wrogi kod mógł uwolnić toksyczny siarkowodór lub spowodować wybuchy. W obu przypadkach ucierpieliby pracownicy i mieszkańcy okolicznych miast. Gutmanis wspomina, że interwencja w zakładzie petrochemicznym zszargała mu nerwy: Wiedzieliśmy, że nie możemy polegać na integralności systemów bezpieczeństwa. Gorzej być nie mogło.

Autorzy ataku w Arabii Saudyjskiej przekroczyli przerażający Rubikon. Po raz pierwszy w historii pojawił się kod zaprojektowany tak, by zagrozić życiu. Przyrządowe systemy bezpieczeństwa chronią nie tylko zakłady petrochemiczne – od ich skuteczności zależy obrona sieci transportowych, stacji uzdatniania wody i elektrowni jądrowych. Odkrycie Tritona rodzi pytanie, w jaki sposób hakerzy zdołali przedostać się do tych kluczowych systemów. Pojawia się ono w czasie, gdy obiekty industrialne rozbudowują łączność między sprzętami – zjawisko znane jako Przemysłowy internet rzeczy. Zabieg ten usprawnia monitorowanie maszyn i zbieranie danych.

Posiadacze Tritona polują na nowe ofiary. Dragos, firma specjalizująca się w cyberbezpieczeństwie przemysłowym, w której pracuje Gutmanis, twierdzi, że w ciągu ostatniego roku trafiła na ślad grupy hakerskiej, która uderzyła w zakład petrochemiczny. Stosuje ona te same cyfrowe metody, by wybadać cele zlokalizowane poza Bliskim Wschodem. Sprawcy piszą nowe wersje kodu, dzięki czemu mogą uzyskać zdolność penetracji zróżnicowanych przyrządowych systemów bezpieczeństwa.

Od kilku lat branża cyberbezpieczeństwa spieszy się, by rozgryźć program i ustalić, kto za nim stoi. Z dotychczasowych ustaleń wyłania się niepokojący obraz wyrafinowanej broni cybernetycznej, zbudowanej i wdrożonej przez zdeterminowanych i cierpliwych ekspertów. Wygląda na to, że od 2014 r, przebywali wewnątrz korporacyjnej sieci IT. Stamtąd przedostali się do sieci zakładu. Najprawdopodobniej pomogła im w tym luka w źle skonfigurowanej zaporze cyfrowej, która miała zapobiec nieautoryzowanemu wtargnięciu. Kolejnym etapem włamania była inżynierska stacja robocza. Za wytrych posłużyła programistom niezałatana dziura w kodzie Windows lub zdobyty login pracownika. Ponieważ stacja robocza komunikowała się z przyrządowymi systemami bezpieczeństwa zakładu, hakerzy byli w stanie poznać markę i model systemowych urządzeń sterujących, a także wersje ich oprogramowania układowego, które zarządza tą komunikacją.

Nie jest wykluczone, że włamywacze zdobyli identyczną maszynę Schneidera i przetestowali na niej swój program. Dzięki temu nie tylko stworzyli imitację protokołu lub zestawu reguł cyfrowych wykorzystywanych przez inżynieryjną stację roboczą do komunikacji z systemami bezpieczeństwa, lecz także znaleźli „lukę zero-day” lub wcześniej nieznany błąd w oprogramowaniu modelu Triconex. Za ich pośrednictwem wprowadzili kod do pamięci systemów bezpieczeństwa, przez co uzyskali nieograniczony dostęp do urządzeń sterujących. Tak oto intruzi mogli wyłączyć przyrządowe systemy bezpieczeństwa i swoim złośliwym programem rozpętać piekło w zakładzie. Konsekwencje byłyby koszmarne. W grudniu 1984 r. fabryka pestycydów Union Carbide w Bhopalu (Indie) uwolniła zabójcze gazy. Chmura toksycznych oparów zabiła wiele tysięcy ludzi (ofiar wśród lokalnej fauny i flory nikt nie policzył). Zdrowie straciło ponad pół miliona osób. Przyczyną tragedii były korporacyjne zaniedbania. Systemy bezpieczeństwa nie zadziałały. Ostatnia linia obrony zawiodła.

Na przestrzeni ostatnich dziesięciu lat firmy dodawały łączność internetową i czujniki do wszelkiego rodzaju urządzeń przemysłowych. Gromadzone dane znajdują zastosowanie w konserwacji predykcyjnej (modele uczenia maszynowego przewidują, kiedy sprzęt będzie wymagał serwisowania) i precyzyjnym dostrajaniu procesów produkcyjnych. Wywierana jest coraz większa presja, by kierować tymi procesami zdalnie m.in. za pomocą smartfonów i tabletów. Pogoń za zwiększaniem wydajności i produktywności wyjaśnia, dlaczego w bieżącym roku na przemysłowe narzędzia internetowe takie jak inteligentne czujniki i zautomatyzowane systemy sterowania industrialni potentaci wydadzą około 42 miliardów dolarów (szacunki ARC Group). Niebezpieczeństwo z tym związane jest oczywiste: im więcej połączonych jednostek sprzętowych, tym więcej potencjalnych celów dla cyberprzestępców. Gutamis uważa, że kolejne zamachy przy użyciu najbardziej zabójczych programów są nieuniknione.

7 marca 2017 r. dziennikarze śledczy z WikiLeaks rozpoczęli publikację Vault 7 – serii dokumentów Centralnej Agencji Wywiadowczej USA (CIA). Ujawniły one, że CIA niedawno straciła kontrolę nad większością swojego arsenału hakerskiego: złośliwym oprogramowaniem, wirusami, trojanami, exploitami „zero day”, złośliwymi systemami zdalnego sterowania i powiązanej z nimi dokumentacji. Właściciel tej niezwykłej kolekcji, która obejmuje ponad kilkaset milionów linii kodu (więcej niż Facebook), dysponuje kompletną zdolnością hakerską agencji. Pojedyncza „cyberbroń” po „uwolnieniu” rozprzestrzenia się po całym świecie w kilka sekund. W jej posiadane mogą wejść rywalizujące ze sobą kraje, cybermafie i nastoletni hakerzy.

Dokumentacja udostępniona opinii publicznej przez WikiLeaks ujawniła, że CIA nadzorowała specjalny program, w ramach którego opracowano metody przypisywania winy za cyberatak niewinnym państwom lub sprawcom niepaństwowym. Każda wykonana ręcznie przez agencję technika hakerska tworzy „odcisk palca”, który może być fałszywym dowodem przeciwko określonemu podmiotowi. Jest to analogiczne do zidentyfikowania charakterystycznej rany noża u wielu ofiar morderstwa. Unikalny styl ciosów rodzi podejrzenia, że zadał je ten sam zabójca. Grupa UMBRAGE wchodząca w skład Oddziału Urządzeń Zdalnych CIA (Remote Devices Branch) skompletowała imponującą bibliotekę technik ataku „skradzionych” ze złośliwego oprogramowania innych grup i krajów. Dzięki UMBRAGE i powiązanym projektom agencja zwiększyła całkowitą liczbę typów ataków i „odcisków palca”. Zbiór składowych UMBRAGE obejmuje keyloggery, zbieranie haseł, przechwytywanie kamer internetowych, niszczenie danych, trwałość i eskalację uprawnień, techniki ukrywania się, obchodzenia antywirusów (PSP) i przeprowadzania ankiet.

Oprac. i tłum. exignorant

Jeśli uzna Pani/Pan moją pracę za wartościową i zasługującą na symboliczne wsparcie, proszę rozważyć możliwość zostania moim Patronem. Dziękuję.

Reklamy
Ten wpis został opublikowany w kategorii Bez kategorii. Dodaj zakładkę do bezpośredniego odnośnika.