Specjalista z Wielkiej Brytanii opisuje, jak Stuxnet i inne zagrożenia dla przemysłowej infrastruktury sieciowej mobilizują do działania. Wiedza to sukces.
Specyfikacje przemysłowych protokołów sieciowych są ogólnie dostępne i niektóre z nich już stały się celem. Jednym z nich jest protokół Profibus, za pomocą którego trojan/wirus Stuxnet zainfekował oprogramowanie Siemens WinCC SCADA, Step 7 i sterowniki PLC Siemensa. Chociaż sytuację udało się szybko opanować, Stuxnet okazał się być dużym wyzwaniem. Ponieważ bezpieczeństwo zostało naruszone, rządy wielu państw przedstawiły ogólny zbiór zasad ochrony systemów istotnych dla bezpieczeństwa kraju.
Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych i Centrum Ochrony Krajowej Infrastruktury Wielkiej Brytanii współpracują ze sobą w zakresie identyfikacji zagrożeń i ochrony krytycznych sektorów państwa. Często cytowanym przykładem zagrożenia jest skumulowany atak na oczyszczalnię ścieków Queensland, w efekcie którego miliony litrów odpadów zostało wypuszczonych wprost na szlak wodny. CIA potwierdziło różne cyberataki, w tym ataki powodujące przerwy w dostawach prądu w niektórych miastach w Stanach Zjednoczonych. Na podstawie przeprowadzonego rekonesansu i współpracy z innymi krajami zdecydowano o utworzeniu specjalnej jednostki United States Cyber Command, której zadaniem jest ochrona sieci Departamentu Obrony Stanów Zjednoczonych i w razie potrzeby przeprowadzanie zbrojnych ataków na hakerów. W Wielkiej Brytanii Centrum Ochrony Krajowej Infrastruktury stanowi rządową jednostkę, która jest głównym ośrodkiem opiniotwórczym w zakresie ochrony obiektów państwowych i przemysłowych.
###NEWS_VIDEO_1###
Trojan/wirus Stuxnet jest pierwszym publicznie znanym robakiem przemysłowych systemów sterowania. Zagrożenie, jakie mógł spowodować Stuxnet, przerosło wszelkie wcześniejsze obawy o cyberataki na obiekty przemysłowe, gdyż jego zadaniem nie był atak na infrastrukturę IT, ale sabotaż pracującego zakładu przemysłowego. Atak polegał na modyfikacji programu w sterownikach PLC w taki sposób, aby zakłócanie przebiegu procesu było trudne do wykrycia przez użytkowników.
Stuxnet zwrócił uwagę na potencjalne zagrożenia ataków na istotne dla bezpieczeństwa kraju sektory transportu oraz zaopatrzenia w energię i wodę. Badania przeprowadzone przez firmę Symantec (we wrześniu 2010 r.) pokazały, że blisko 60% z około 100 tys. zainfekowanych przez Stuxnet hostów mieściło się w Iranie. Pojawiła się zatem spekulacja, że celem Stuxnet było zakłócenie budowy opóźnionej irańskiej elektrowni atomowej w Bushehr lub stacji uzdatniania uranu w Natanz.
Symantec opisał Stuxnet jako jedno z najbardziej złożonych zagrożeń, które były do tej pory analizowane. Wykorzystano w nim tzw. zero-day exploits, czyli luki w systemie, o których w dniu ataku nikt jeszcze nie wiedział ? nawet sam producent. To rzadkość w obecnie odnajdywanych wirusach, bo zwykle poszukiwanie takich luk jest zbyt czasochłonne dla hakerów. Stuxnet zawierał także dwa rootkity: jeden pozwalał na swobodny i trudno wykrywalny dostęp do komputera z systemem Windows, drugi był pierwszym rootkitem dla PLC, który umożliwiał ukrytą zmianę programu sterowania. Aby pozostać niewidocznym dla programów antywirusowych, Stuxnet przedstawiał się jako certyfikowane narzędzie Windows ? certyfikaty były prawdziwe, bo zostały wcześniej ukradzione jednej z tajwańskich firm. Złożony mechanizm podmiany programu PLC czuwał nad tym, aby program był podmieniany na oryginalny w momencie próby poszukiwania błędu przez użytkownika.
Ponieważ komputery służące do programowania sterowników nie są zwykle podłączone do Internetu, Stuxnet musiał uzyskać do nich dostęp w inny sposób ? przez wymienne napędy USB i mechanizm autoodtwarzania. Rozprzestrzenił się po lokalnej sieci za pomocą luk w procesie buforowania wydruku i zdalnego wywoływania procedur systemu Windows, a także wykorzystując serwery danych oprogramowania SCADA Siemens WinCC. Swoją kopię umieszczał także w oprogramowaniu Siemens Step 7 PLC ? na bieżąco monitorował działania użytkownika i starał się ukrywać swoją obecność. Stuxnet komunikował się z dwoma serwerami w Danii i Malezji, skąd mógł pobierać i przesyłać dane.
Stuxnet sprawdzał, czypodłączony do danego komputera sterownik PLC wykorzystuje protokół Profibus do komunikacji z rozproszonymi wejściami/wyjściami. Jeśli nie, wirus/trojan pozostawał w ukryciu. Jeśli tak, kod programu sterownika był modyfikowany, a zmiany ukrywane. Zmodyfikowany kod zapobiegał wykonaniu określonych bloków, modyfikował ramki komunikatów w sieci i modyfikował rejestry wejściowe/wyjściowe sterowników PLC.
Stuxnet może stać się swojego rodzaju wzorem ataku na obiekty przemysłowe, wskazując, w jaki sposób można modyfikować program sterowania. Złożoność i wyrafinowanie Stufnex wymaga posiadania dużych zasobów i środków, więc prawdopodobieństwo, że liczba jego następców zacznie rosnąć lawinowo, nie jest aż tak wielkie [choć są to tylko przypuszczenia ? przyp. tłumacza].
Aby zabezpieczyć się przed zagrożeniami, trzeba poznać słabe punkty systemów sterowania i SCADA, dlatego wspólnymi siłami agencje Stanów Zjednoczonych i Wielkiej Brytanii określiły zasady ochrony starych i nowych systemów zaopatrzenia w wodę i energię oraz sektora chemicznego, bazujące w dużej mierze na standardzie ISA99. Organizacja IEC również przygotowuje standardy, w których zawarte będą wytyczne Międzynarodowej Komisji Stratygrafii. W pierwszym publicznym wystąpieniu szef Centrali Łączności Rządowej w Wielkiej Brytanii Ian Lobban zażądał natychmiastowych działań, które dorównają prędkości cyberwydarzeń. Wyzwanie stanowi opracowanie miarodajnych wskaźników odporności na zagrożenia i dalsza identyfikacja słabych punktów, zagrożeń i skutków ewentualnych ataków.
Dr Richard Piggin jest brytyjskim specjalistą ds. sieci i ich bezpieczeństwa. Współpracuje z działami Network & System Security i Cyber Security w IEC i współtworzy standard IEC 62443 o nazwie Security for Industrial Process Measurement and Control ? Network and System Security
Artykuł pod redakcją mgr. inż. Łukasza Urbańskiego, doktoranta w Katedrze Automatyki Przemysłowej i Robotyki Wydziału Elektrycznego Zachodniopomorskiego Uniwersytetu Technologicznego w Szczecinie.
CE