Kybernetické útoky v priemysle 4.0

Kybernetickým hrozbám z okolitého sveta čelia priemyselné riadiace systémy (ICS – Industrial Control System), prevádzková technika (OT – Operational Technology) a kritická infraštruktúra viac, než by mnohí čakali. Historicky boli tieto systémy oddelené doslova fyzicky od podnikovej IT infraštruktúry. Tento termín „vzduchovej medzery“ sa dodnes často spomína. Je to v skutočnosti tak?

Zaujímavú štatistiku prináša posledná výročná správa spoločnosti CyberX, kde pomer auditovaných priemyselných systémov pripojených do internetu je na hranici 40 % a tých skutočne oddelených je 60 %. Zo skúseností je patrné, že aj pri tých najizolovanejších systémoch sa nájde aspoň jeden prienik pre útočníka. Napríklad VPN prístup, ktorým na diaľku pristupuje k technologickému zariadeniu dodávateľ, alebo zabudnuté „zadné vrátka“ z čias uvádzania systému do prevádzky. S príchodom priemyslu 4.0 a IIoT (priemyselný internet vecí) možno s istotou očakávať, že podiel prepojených priemyselných systémov s okolím bude len a len narastať. Systém, ktorý ostane izolovaný, nebude už ďalej na trhu konkurencieschopný.

Súčasný stav a bezpečnosť priemyselných infraštruktúr nepreverujú len „etickí“ hackeri. Sú medzi nimi aj takí, ktorí na danú zraniteľnosť nielen poukážu, ale pretvoria ju na dokonalý útok. Existuje viacero dôvodov, ako napr. likvidácia konkurencie, vidina zisku, národné záujmy a hybridné vojny. Tak ako sa zdokonaľujú technológie, zdokonaľuje sa aj útočník. Kybernetické útoky prešli pomerne rýchlou cestou evolúcie. Hackeri veľmi rýchlo zistili, že ľahkou korisťou nemusí byť len počítač alebo server. Programovateľný automat (PLC), menič frekvencie alebo vstupno/výstupný terminál na rozdiel od spravovania informácií riadia fyzikálny svet.

Azda najviac uvádzaným útokom v priemysle bol Stuxnet. Zaobišiel sa aj bez internetu. Zdrojom infekcie bola USB pamäť. Tento počítačový červ mal za cieľ vyhľadať pracovné stanice spravujúce priemyselné aplikácie. Aktivoval sa pri detekcii riadiaceho systému Siemens WinCC a Step 7. Stuxnet úspešne prevzal kontrolu od stanice SCADA (WinCC) cez PLC (S7-300) až po meniče frekvencie (Vacon, Fararo Paya). Opakované zmeny frekvencie dokázali vyradiť z prevádzky sériu iránskych centrifúg a spôsobiť tak nemalé škody. Užívateľ infikovanej pracovnej stanice nedokázal tejto aktivite zabrániť. Dokonca mal pocit, že sa v PLC nachádza pôvodný neinfikovaný software (maskovanie aktivity pomocou podporných knižníc DLL v prostredí Step 7).

Stuxnet nebol jediný a zďaleka nie posledný útok na prevádzková zariadenia. Čoraz väčšou ambíciou boli pokusy hackerských skupín ovládnuť prevádzkové technologické zariadenia z pohodlia domova a na diaľku. Praktík, ako zaviesť infekciu z internetu do priemyselnej infraštruktúry, je mnoho, ako napr. emailová príloha, podvrhnutie služby (Havex), nevynímajúc chyby v nastavení a dostupnosť kritických systémov z internetu.

V roku 2013 bola na internete zaznamenaná prvá rozsiahla špionáž vedená na viacero priemyselných odvetví. Havex je vírus označovaný skratkou RAT (Remote Access Trojan, trójsky kôň pre vzdialený prístup). Zatiaľ čo Havex bol len nástroj s cieľom získať čo najviac informácií o obeti, trójsky kôň BlackEnergy mal povahu už aj útočnú. Správa ukrajinského holdingu Kyivoblenergo z 23. decembra 2015 hlásila výpadky na siedmich 110 kV a dvadsiatich troch 35 kV rozvod­niach. Ivanofrankivská oblasť tak razom ostala bez energie na niekoľko hodín. BlackEnergy má svoje varianty od útokov DDoS (Distributed Denial of Service – zahltenie obrovským množstvom distribuovaných dotazov), priemyselnej špionáže až po útoky, ktoré vyradia systém SCADA z prevádzky.

Rok po BlackEnergy bol na Ukrajine zaznamenaný ďalší útok, Industroyer. Útočníci pretvorili zúročené skúsenosti špionážou do sofistikovaného arzenálu. Industroyer identifikovala a analyzovala ako malvérovú platformu ako jedna z prvých spoločnosť Eset. Od svojich predchodcov sa Industroyer odlišuje tým, že využíva paletu nástrojov, ktorými útočník môže strategicky cieliť a plánovať svoje aktivity. Každé infikované zariadenie si klasifikuje do triedy. Pri objavení systému SCADA nadviaže spojenie s centrálou útočníka. Samotný útok na úrovni príkazov a odpovedí sa tak stáva oveľa účinnejší a efektívnejší. Útočník má bohaté vektory útoku ako na sériovú komunikáciu štandardu IEC 101, tak aj jeho TCP/IP variantu IEC 104, ale aj na IEC 61850 a veľmi známy protokol OPC/DA (ABB MicroSCADA). Za zmienku stojí aj útok DoS (Denial of Service) na prepäťové ochrany Siprotec.

Evolúcia nekalých aktivít nepoľavila ani koncom roku 2017. Na kybernetický útok Triton prvá upozornila a forenziku poskytla spoločnosť FireEye. Triton je prvá malvérová platforma, ktorá postihuje systémy funkčnej bezpečnosti SIS (Safety Instrumented Systems) značky Triconex od Schneider Electric. Tieto systémy sa používajú na zaistenie bezpečnosti obzvlášť rizikových procesov s trojitou redundanciou. Útočník získal vzdialený prístup na inžiniersku pracovnú stanicu, kde Triton nainštaloval, a bol schopný preprogramovať bezpečnostné programovateľné automaty SIS. Modifikovaný software bezpečnostného PLC tak môže ovplyvňovať činnosť, ako aj samotnú bezpečnosť procesov.

Čeliť moderným kybernetickým útokom v priemysle 4.0 je naozaj veľká výzva aj pre vyspelé priemyselné firmy. Bez vhodnej obrannej stratégie, technológie, procesov a ria­denia ľudí je takmer nemožné odraziť kybernetické útoky, či ich dokonca vôbec zaregistrovať. Kybernetický incident má v pokročilých fázach povahu prevádzkového incidentu.

Sme si teda skutočne istí, že sme u nás nezažili kybernetický útok na kritickú infraštruktúru, ak ho máme problém v prvotných fázach zachytiť a v pokročilých fázach odlíšiť od poruchy? 

(Použité informácie a štatistické dáta z výročných správ nasledujúcich spoločností: CyberX, Kaspersky Labs, Eset, Dragos, SANS)

Robert Kominka, QNA s. r. o., Michal Tušic, Corpus Solutions a. s.

Obr. 1. História kybernetických útokov na priemyselné riadiace systémy