sieć energetyczna

Elektrownie z USA, Turcji i Szwajcarii zhakowane

Fot. Pixabay
Celem działań cyberprzestępców były dziesiątki firm z branży energetycznej w Stanach Zjednoczonych i Europie. Hakerzy sforsowali zabezpieczenia, dostali się do wewnętrznych sieci, ale, choć mieli taką możliwość, nie wyłączali dostaw prądu.

Symantec ujawnia zakrojoną na dużą skalę grupę ataków, które zostały przeprowadzone w ostatnich miesiącach. Przynajmniej w 20 przypadkach intruzom udało się przeniknąć do sieci zaatakowanych celów – firm z branży energetycznej. Zdobyli tzw. dostęp operacyjny, czyli możliwość kontroli interfejsów, wykorzystywanych przez spółki energetyczne do sterowania węzłami sieci dystrybucji energii elektrycznej. Grupa zwana Dragonfly 2.0 atakowała spółki energetyczne ze Stanów Zjednoczonych i Europy (Turcja i Szwajcaria).

Jak podkreśla jeden z analityków, Eric Chien:

Jest różnica pomiędzy tym, że jest się krok od możliwości przeprowadzenia sabotażu, a faktyczną możliwością jego przeprowadzenia, czyli w praktyce wyłączenia dostaw energii – Chien dodaje, że w Stanach Zjednoczonych to sytuacja bez precedensu. Nigdy wcześniej jakakolwiek grupa nie doszła do tego punktu, jeśli chodzi o tak strategiczny sektor gospodarki jak energetyka.

Jedynym porównywalnym przypadkiem była seria skutecznie przeprowadzonych ataków na ukraińską sieć energetyczną, co na przełomie 2015 i 2016 roku spowodowało przerwy w dostarczaniu energii na Ukrainie. Wówczas firmy FireEye i Dragos, specjalizujące się w cyberbezpieczeństwie, przypisały ataki grupie hakerów o nazwie Sandworm, a sama operacja miała być prowadzona z Rosji.

atak na ukraińskie instalacje energetyczne

Przejęcie kontroli nad komputerem pracownika elektrowni może mieć bardzo poważne konsekwencje (fot. Steag / VGB Power Tech GmbH, CC BY-SA)

Symantec nie przypisuje najnowszych ataków jakiemukolwiek państwu, nieznane są również motywy działania hakerów. Zdaniem Erica Chiena, nie widać powiązania pomiędzy grupami Sandworm a Dragonfly 2.0. Co prawda analitycy znaleźli kilka ciągów rosyjskojęzycznych w badanym kodzie malware’u, wykorzystanym przez grupę Dragonfly 2.0, ale kod zawierał również frazy francuskojęzyczne. Zatem, jak podkreśla ekspert Symanteca, oskarżanie Francji czy Rosji byłoby nadużyciem. Każdy z języków wykrytych w kodzie złośliwego oprogramowania może być celowym ślepym tropem, który ma mylić analityków.

Firma antywirusowa zwraca też uwagę, że ataki prowadzone przez Dragonfly 2.0 były wymierzone wyłącznie w nienuklearne elementy infrastruktury energetycznej Stanów Zjednoczonych, gdzie rozgraniczenia pomiędzy siecią informatyczną połączoną z internetem a wewnętrzną siecią sterującą bezpośrednio produkcją i przesyłem energii są mniej restrykcyjne.

infografika prezentująca atak grupy Dragonfly 2.0

Symantec wykrył ataki na sieci energetyczne w trzech krajach (fot. Symantec)

Wszystkie ataki grupy Dragonfly 2.0 były prowadzone w podobny sposób (metodyka działania to ślad definiujący agresora). Najpierw ofiara – pracownik instytucji energetycznej – był nakłaniany do instalacji złośliwego oprogramowania. Stosowano m.in. fałszywe zaproszenia na noworoczną imprezę czy rozwiązanie określane jako tzw. taktyka wodopoju (watering hole attack). Polega na tym, że agresor najpierw monitoruje z jakich serwisów internetowych najczęściej korzystają pracownicy instytucji-celu, a następnie atakowane są właśnie te serwisy, po to, by odwiedzający je później pracownicy zostali zainfekowani.

Sama infekcja to jednak dopiero początek – malware, który przedostaje się na komputery, działające w sieci firmy energetycznej, ma za zadanie przechwycić uprawnienia (loginy, hasła itp.) osób upoważnionych do sterowania pracą sieci. O tym jak dalece wyrafinowane mogą być tego typu próby świadczy wspomniany wyżej udany atak na ukraińską sieć energetyczną. Grupie Sandworm udało się przejąć kontrolę nad… kursorami myszy w komputerach inżynierów, sterujących pracą sieci energetycznej. Atakujący ręcznie klikali dziesiątki wyłączników i tak odcinali dostawy prądu. Pozbawili energii około ćwierć miliona mieszkańców Ukrainy.

Skoro jednak hakerom udało się uzyskać bezpośredni dostęp, umożliwiający kontrolę nad przynajmniej częścią sieci energetycznej Stanów Zjednoczonych, dlaczego z tego nie skorzystali i nie wyłączyli dostaw? Eric Chien wyjaśnia, że hakerzy mogą czekać na sytuację, która będzie bardziej użyteczna strategicznie – np.: wybuch konfliktu zbrojnego, bądź okoliczności, w których zechcą odwieść Stany Zjednoczone od przeprowadzania własnych działań cybernetycznych, wymierzonych w inny kraj.

Symantec pomógł zaatakowanym instytucjom w neutralizowaniu skutków ataku, ale firma jednocześnie przestrzega, aby firmy nie poprzestawały na usuwaniu wykrytego złośliwego kodu, ale też możliwie często zmieniały dane uwierzytelniające dostęp pracowników do krytycznych punktów sieci.

Grupa Dragonfly 2.0 jest cały czas aktywna. Według danych Symanteca, zajmuje się infiltracją sieci energetycznych co najmniej od siedmiu lat. | CHIP