Kibernetski napadi decembra 2015 na ukrajinska elektroenergetska podjetja so bili redki, saj je bila povzročena dejanska škoda. Obstaja pa veliko dokazov o razširjeni infiltraciji v operativne sisteme organizacij.
Elektrarna Burshtyn TES, Ukrajina.
Nekdanja sovjetska republika Ukrajina je žarišče že od začetka leta 2014, ko je leta 2014 prišlo do revolucije "Euromaidan". podpora tesnejši integraciji v EU, ruska priključitev Krima in začetek sedanjih proruskih separatistov uporništvo.
Da bi svoje težave še povečale, so veliki deli ukrajinskega prebivalstva med božičem 2015 utrpeli izpade električne energije po seriji kibernetskih napadov na tri lokalna energetska podjetja. Čeprav se domneva, da so iz Rusije, identiteta hekerjev ostaja nejasna pripisovanje v teh zadevah je zapleteno. Vendar pa primarni vektor napada -- znani trojanski klicanec BlackEnergy -- je dokončno ugotovljeno.
Podrobnosti o tem, kako so bili ogroženi operativni sistemi ukrajinskih komunalnih podjetij, so poučne študija primera, ki ponazarja večplastnost današnjih kibernetskih napadov in ranljivost organizacij v the
Industrijski internet stvari (IIoT).Kako so se odvijali napadi v Ukrajini
Začetni vdor v ukrajinsko elektroenergetsko omrežje je bil – kot pogosto pri kibernetskih napadih – posledica človeškega dejavnika: za vstop v omrežje sta bila uporabljena podvodno lažno predstavljanje in socialni inženiring. Ko so bili notri, so napadalci izkoristili dejstvo, da so bili operativni sistemi – tisti, ki nadzorujejo električno omrežje – povezani z običajnimi sistemi IT.
Ehud Shamir, CISO v varnostnem podjetju SentinelOne (kateri ima analiziral Black Energy 3), prevzame zgodbo.
"Pomembno je razumeti, da ko govorite o internetu stvari, SCADA in industrijski nadzorni sistemi [ICS], te sisteme običajno nadzirajo običajni osebni računalniki z operacijskim sistemom Windows,« je opozoril Shamir. Zaradi tega so ranljivi za splošno zlonamerno programsko opremo, kot je Black Energy.
"Edinstvenost črne energije je, da je zelo modularna - napadalec lahko precej hitro spremeni vedenje zlonamerne programske opreme," je dejal Shamir. "V zadnjem napadu ga je poslal nekdo, ki je prejel e-pošto, verjetno prek okužene Excelove datoteke."
Potem je tu še dejstvo, da so krmilniki ICS pogosto povezani z običajnimi IT sistemi.
"Ko so napadalci pridobili dostop do omrežja, so ugotovili, da je bil operater električnega omrežja malo površen in povezal nekatere vmesnike industrijskega krmilnega sistema električnega omrežja z lokalnim LAN,« je dejal Šamir. "Del modularne zlonamerne programske opreme Black Energy deluje kot omrežni vohalec in ta odkrije podatke, kot je uporabnik poverilnice, ki so napadalcu omogočile dostop do industrijskega nadzornega sistema in ogrozile električno energijo dobava."
Takšni napadi zahtevajo veliko načrtovanja, kar je eden od razlogov, zakaj nacionalne države namesto kibernetski kriminalci so običajno v kadru (drugo je, da ni bila ukradena evidenca strank ali izsiljevanje postavljene zahteve).
"Ta skupina je verjetno imela zelo dobro inteligenco in je vedela, kako ustvariti največjo verjetnost, da bo nekdo kliknil zlonamerno povezavo in aktiviranje zlonamerne programske opreme Black Energy – pri večini napadov je človeški dejavnik tisti, ki vodi do infiltracije,« je dejal. Šamir. Nadaljnji dokaz naprednega načrtovanja je bil sočasen napad z zavrnitvijo storitve na klicne centre elektroenergetskih služb, da bi preprečili odjemalce, ki so poskušali prijaviti izpade.
Nekateri vidiki kibernetskega napada v Ukrajini ostajajo neprozoren -- natančneje, ali je modularna komponenta, imenovana KillDisk (brisalec trdega diska), dejansko povzročila izpad električne energije ali preprosto onemogočil obnovitev ogroženih sistemov s pomočjo SCADA protokoli.
Kot da bi bili potrebni dodatni dokazi o političnem motivu, so raziskovalci varnostnega podjetja Trend Micro nedavno poročali, da je bila ista kombinacija BlackEnergy in KillDisk "morda uporabljena proti velikemu Ukrajinsko rudarsko podjetje in veliko ukrajinsko železniško podjetje" približno ob istem času kot napadi na moč pripomočki.
Ali je bil končni cilj storilcev destabilizirati Ukrajino z usklajenimi kibernetskimi napadi na njeno kritično infrastrukturo ali določiti najšibkejši sektor pred nadaljnjimi napadi ali preprosto za preizkušanje zlonamerne programske opreme Black Energy 3/KillDisk, je zaključek podjetja Trend Micro neizpodbiten: »Karkoli V tem primeru je treba napade na industrijske nadzorne sisteme (ICS) obravnavati skrajno resno zaradi grozljivega resničnega sveta. posledice."
Kako velik je problem?
Napadi v Ukrajini kažejo, kako ranljivi so lahko industrijski nadzorni sistemi v IoT - toda kako razširjena je težava? Letna poročila iz ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) dobro nakazujejo nedavne trende v ZDA. V proračunsko leto 2015 (oktober 2014–september 2015) se je ICS-CERT odzval na 295 prijavljenih incidentov, kar je več kot 245 v prejšnjem letu in več kot šestkrat toliko, kot je bilo prijavljenih leta 2010:
Kritična proizvodnja je bila leta 2015 najbolj napaden sektor, pred energetiko, ki je bila cilj številka ena prejšnje leto:
ICS-CERT je dejal, da "ni bilo dovolj forenzičnih artefaktov za dokončno identifikacijo začetne okužbe vektor" v 38 odstotkih lanskih incidentov, pri čemer je lažno predstavljanje najpogostejša prepoznavna začetna okužba vektor:
Ob ponovitvi napada na ukrajinsko električno omrežje je ICS-CERT opozoril, da se je leta 2015 "odzval na veliko število incidentov, ki so jih omogočili nezadostni arhitekturna omrežja, kot so omrežja ICS, ki so neposredno povezana z internetom ali omrežji podjetij, kjer lahko lažno predstavljanje omogoči dostop."
Čeprav je bila večina (69 %) poskusov kršitev, ki jih je leta 2015 preiskal ICS-CERT, neuspešnih ali uspešno obranjenih oz. ni uspelo preseči poslovnega omrežja organizacije (12 %), 12 odstotkom kibernetskih napadov je uspelo prodreti v industrijski nadzor sistemi. To je zaskrbljujočih 35 incidentov -- v primerjavi z 22 (9 % od 245) leta 2014.
Raziskava inštituta SANS iz leta 2015 z naslovom Stanje varnosti v nadzornih sistemih danes, je razkril skrb zbujajočo pomanjkljivo vpogled v naravo kibernetskih napadov na industrijske nadzorne sisteme. Raziskava je zajela 314 organizacij po vsem svetu, od tega 78 odstotkov v ZDA. Glavne ugotovitve so bile:
- 32 odstotkov jih je navedlo, da so bila njihova sredstva ali omrežja nadzornega sistema na neki točki infiltrirana
- 34 odstotkov infiltriranih meni, da je bil njihov sistem kršen več kot dvakrat v zadnjih 12 mesecih
- 15 odstotkov jih je poročalo, da potrebujejo več kot mesec dni, da odkrijejo kršitev
- 44 odstotkov jih ni moglo identificirati vira infiltracije
- 42 odstotkov jih je videlo zunanje akterje kot glavni vektor grožnje
Druga ključna ugotovitev je bila, da čeprav je 19 odstotkov vprašanih opredelilo integracijo IT v omrežja nadzornih sistemov kot največji vektor grožnje (in 46 % ga je uvrstilo med prve tri), manj kot polovica (47 %) ima dejansko strategijo za obravnavo te konvergence:
Kot jasno kaže primer ukrajinskega elektroenergetskega omrežja, gre za to konvergenco IT in industrijskih nadzornih sistemov – včasih omenjeno kot pomanjkanje "zračne vrzeli" - ki lahko kibernetskim napadalcem zagotovi pot do kritične infrastrukture prek običajnih zlonamerna programska oprema.
Dodatne dokaze o razširjeni infiltraciji v organizacije, ki se ukvarjajo s kritično infrastrukturo, je pred kratkim predložila raziskovalna veja varnostnega podjetja Cylance, KOPJE, v poročilu z naslovom Operacija Prašna nevihta.
Poročilo podrobno opisuje kibernetske napade na velike industrije, razširjene po Japonski, Južni Koreji, Združenih državah, Evropi in številnih drugih državah jugovzhodne Azije države. Najnovejša raziskava SPEAR kaže, da so se napadalci osredotočili na "specifično in izključno tarčo japonskih podjetij ali japonskih pododdelkov večjih tujih organizacij".
Najnovejši del časovnice operacije Prašna nevihta 2010–2016.
"Napad, ki se dogaja, je trenutni napad, ki je v teku in je ogrozil vrsto japonskih organizacij - zlasti med njimi je električna služba podjetja, naftna podjetja, podjetja za zemeljski plin, transportne organizacije, gradbeništvo in celo nekatere finančne organizacije," je vodja trženja družbe Cylance Greg Fitzgerald povedal ZDNet.
"Kolikor lahko rečemo, je kompromis le nakazal sposobnost dolgoročne prisotnosti in neodkriti -- ne moremo reči, ali so danes naredili kakšno škodo organizacijam," je dejal Fitzgerald. "Kar vemo, je, da bi uporabljene metode napada, ki pridobijo dostop do računalnikov in njihovih omrežij, omogočile povzročitev škode ali krajo podatkov, če bi želeli."
Spoznajte svojega sovražnika: Cyber Kill Chain
Soočeni s težo dokazov o razširjenosti kibernetskih napadov bi lahko CxO-jem oprostili metanje v brisačo in sprejemanje, da bodo imeli 'slabi fantje' vedno možnost, da se infiltrirajo v njihove organizacije. Vendar pa je kibernetska varnost tekma v oboroževanju in, kot poudarja Shamir iz Sentinela One, "imajo tudi 'dobri fantje' zmožnosti".
Večina kibernetskih napadov sledi podobni poti od izvida do cilja, kar je bilo kodificirano - sprva z Lockheed Martin -- kot Cyber Kill Chain:
Cyber Kill Chain.
To zagotavlja uporaben okvir za obrambo, ki temelji na obveščevalnih podatkih, pravi Richard Cassidy, tehnični direktor za regijo EMEA pri ponudniku varnosti kot storitve. Opozorilna logika, je povedal ZDNet.
"Če pomislite na primer na ukrajinsko elektroenergetsko omrežje, je bil sam napad dobro pripravljen - nekateri analitiki pravijo, da je šlo za vsaj šestmesečno pripravljalno fazo. To sta prva dva koraka v verigi kibernetskih ubijanj -- izvidovanje in oborožitev -- in vidimo da pri Alert Logic v naši bazi strank: večina dejavnosti, ki jo izvajamo, je v teh prvih korakih. Dlje ko vidimo, da vir našteva cilj, hujšo pričakujemo, da bo grožnja. Veriga kibernetskega ubijanja nam daje resnične kazalnike in korake, ki jih moramo razumeti in jim slediti, da preprečimo, da bi prišli do konca verige, kar je najslabši možni scenarij."
Outlook
Do danes so bili kibernetski napadi na kritično infrastrukturo večinoma omejeni na nacionalne države, čeprav Anonimna haktivistična skupina je napadla naftna, plinska in energetska podjetja – natančneje podjetja na Bližnjem vzhodu the naftna industrija. Zdi se, da je količina sredstev, ki so bila potrebna v smislu časa za pripravo, financ in spretnosti, do zdaj "običajne" kibernetske kriminalce sicer zaposlovala z mehkejšimi tarčami.
Napadi na kritično infrastrukturo, ki povzročijo dejansko škodo, so na srečo redki: incidenti, kot je zloglasni leta 2010 Stuxnet sabotaža iranskega jedrskega programa in izpad ukrajinskega električnega omrežja leta 2015 sta prej izjema kot pravilo. Vendar, kot kažejo nedavna razkritja operacije Dust Storm, razširjena infiltracija pušča veliko možnosti za resne težave.
Kot poudarja Cassidy iz podjetja Alert Logic, zagotovo ni prostora za ravnanje z glavo v pesek: "Na žalost proizvodna okolja, ker glede na naravo njihovega posla so ponavadi lažja tarča, ker običajno niso tiste vrste organizacij, ki bi videle grožnjo dejavnost. Zaradi tega lahko postaneš preveč samovšečen v takšni organizaciji in si misliš, 'meni se to ne bo zgodilo'.«
Upajmo, da bo industrija kibernetske varnosti – podjetja, kot so Sentinel One, Trend Micro, Cylance in Alert Logic, in organizacije, kot sta CERT in SANS, lahko prepričajo podjetja, ki izvajajo industrijske nadzorne sisteme, da samozadovoljstvo ni več možnost.