Jak działają cyberataki na rurociągi i inne instalacje przemysłowe?

Nie ma wiadomości, że wiele dużych instytucji technologicznych padło ofiarą jednego cyberataku za drugim. Ale cyberatak na technologie operacyjne zakładów przemysłowych, takie jak rurociągi i elektrownie?

To zuchwałe i upokarzające. I to nie żart, kiedy uderza. Takie ataki, jeśli się udają, wstrzymują działalność przemysłową i negatywnie wpływają na ludzi, którzy są uzależnieni od poszkodowanego przemysłu. Co gorsza, może to sparaliżować naród ekonomicznie.

Ale jak działają cyberataki na rurociągi i inne instalacje przemysłowe? Zagłębmy się.

Dlaczego cyberataki zdarzają się na instalacje przemysłowe

Dla większości z nas nie ma sensu, jak i dlaczego ktokolwiek miałby szansę przeprowadzić cyfrowo zaaranżowany cyberatak na mechanicznie obsługiwany zakład przemysłowy.

Cóż, w rzeczywistości widzimy teraz sztuczną inteligencję, uczenie maszynowe i coraz więcej technologii cyfrowych przejmujących mechaniczne, a nawet techniczne operacje w zakładach przemysłowych. W związku z tym ich dane operacyjne, informacje logistyczne i inne znajdują się teraz w Internecie i są podatne na kradzież i ataki.

Istnieje wiele powodów, dla których cyberataki stają się coraz bardziej powszechne na instalacje przemysłowe, takie jak rurociągi, elektrownie, stacje wodociągowe, przemysł spożywczy i tym podobne.

Jakikolwiek jest motyw, prawdopodobnie będzie należeć do jednej z następujących kategorii.

1. Motywy polityczne, ekonomiczne i biznesowe

Z biznesowego punktu widzenia atakujący czasami włamują się do systemu przemysłowego, aby uzyskać informacje o składzie chemicznym, marce, wielkości rynku, planach technicznych i biznesowych i tak dalej. Może to pochodzić od konkurencyjnej firmy lub osób zamierzających rozpocząć działalność.

Jednak polityka również odgrywa ważną rolę. Sponsorowane przez państwo cyberataki zazwyczaj mają na celu sparaliżowanie infrastruktury gospodarczej innego kraju, aby pokazać siłę i możliwości tego kraju. Jednym ze sposobów, w jaki to osiągają, jest zakłócanie procesów w branżach, które napędzają gospodarkę kraju ofiary. Były też doniesienia o kilku z nich tu i tam.

2. Motywy finansowe

To jedna z najczęstszych przyczyn cyberataków. Atakujący mogą włamać się do systemu przemysłowego z kilku powodów finansowych, od odzyskiwania informacji o karcie kredytowej po kradzież informacji finansowych.

Zwykle osiągają to za pomocą złośliwego oprogramowania lub trojanów, dzięki czemu mogą niepostrzeżenie dostać się do systemu. Po wejściu do środka mogą pobierać dane związane z procesami technicznymi. Haker może następnie zaoferować wszystkim zainteresowanym informacje, które ukradł na czarnym rynku.

Innym sposobem na zarabianie pieniędzy jest wstrzykiwanie oprogramowania ransomware, w którym atakujący szyfrują dane celu, a następnie sprzedają hasło za sporą sumę.

Związane z: Co to jest oprogramowanie ransomware i jak je usunąć?

Istnieją również rozproszone ataki typu „odmowa usługi” (DDoS), w których kilka zainfekowanych komputerów jednocześnie uzyskuje dostęp do strony internetowej celu, przytłaczając w ten sposób ich systemy. Uniemożliwia to klientom skontaktowanie się z tą firmą, dopóki nie powstrzymają ataku.

Jak działają te cyberataki? Wybitne przykłady

Teraz, gdy znasz najistotniejsze przyczyny cyberataków na zakłady przemysłowe. Wyciągnijmy wgląd w to, jak to działa, z tych godnych uwagi przykładów.

1. Rurociąg kolonialny

Rurociąg Kolonialny przewozi dziennie około 3 milionów baryłek produktów naftowych na terenie Stanów Zjednoczonych. To największy rurociąg paliwowy w USA. Oczywiście można by sobie wyobrazić trudność zhakowania tak złożonego systemu.

Ale stało się coś nie do pomyślenia. Wiadomość o włamaniu trafiła na pierwsze strony gazet w maju 2021 r., kiedy prezydent Joe Biden ogłosił stan wyjątkowy z powodu braku paliwa do silników odrzutowych i paniki przy zakupie benzyny i oleju opałowego. Stało się to po tym, jak rurociąg zamknął wszystkie operacje z powodu cyberataku.

W jaki sposób hakerzy sparaliżowali operacje Colonial Pipeline? Za pośrednictwem oprogramowania ransomware. Spekulowano, że napastnicy byli w sieci rurociągu przez tygodnie niezauważeni.

Po uzyskaniu dostępu do sieci rurociągu przy użyciu ujawnionego hasła personelu i nazwy użytkownika znalezionego na ciemna sieć, atakujący wstrzyknęli złośliwe oprogramowanie do systemu informatycznego rurociągu, szyfrując ich sieć rozliczeniową i przetrzymując ich jako zakładników. Następnie poszli dalej, aby ukraść około 100 gigabajtów danych i poprosili o okup zapłacony w Bitcoin w zamian za odszyfrowanie.

Jak wspomniana nazwa użytkownika i hasło wyciekły w ciemnej sieci? Nikt nie był pewien. Jednak możliwym winowajcą jest phishing wymierzony w personel Colonial Pipeline.

Związane z: Kto stał za atakiem na rurociąg kolonialny?

Chociaż atak ten nie wpłynął na systemy mechaniczne obsługiwane cyfrowo, działanie oprogramowania ransomware mogło być bardziej niszczycielskie, gdyby Colonial Pipeline zaryzykowało dalsze operacje pomimo cyberataku.

2. System zaopatrzenia w wodę Oldsmar (Floryda)

W przypadku systemu zaopatrzenia w wodę Oldsmar hakerzy przejęli wirtualną kontrolę nad infrastrukturą oczyszczania chemicznego za pośrednictwem TeamViewer, oprogramowania do współdzielenia ekranu używanego przez zespół techniczny.

Po wejściu do środka napastnik wszedł prosto do systemu kontroli leczenia w ośrodku i podniósł poziom wodorotlenku sodu dodanego do wody do poziomu toksycznego – dokładnie od 100 do 11 100 części na milion (ppm).

Gdyby personel dyżurny nie zauważył tego absurdalnego wzrostu poziomu chemikaliów i obniżył go do normy, hakerzy mieli zamiar popełnić masowe morderstwo.

W jaki sposób ci atakujący uzyskali poświadczenia TeamViewer, aby uzyskać zdalny dostęp do interfejsu człowiek-maszyna?

Musieli wykorzystać dwie luki w systemie kontroli Oldsmara. Po pierwsze, wszyscy pracownicy używali tego samego identyfikatora TeamViewer i hasła, aby uzyskać dostęp do zhakowanego systemu. Po drugie, oprogramowanie systemu było przestarzałe, ponieważ działało w systemie Windows 7, który według Microsoftu jest bardziej podatny na ataki złośliwego oprogramowania z powodu przerwania wsparcia.

Hakerzy musieli albo brutalnie wedrzeć się do środka, albo podsłuchać przestarzały system za pomocą złośliwego oprogramowania.

3. Ukraińskie podstacje energetyczne

Około 225 000 osób zostało rzuconych w ciemność po tym, jak ukraiński system sieci energetycznej doznał cyberataku w grudniu 2015 roku. Tym razem osoby atakujące wykorzystały BlackEnergy, wszechstronne szkodliwe oprogramowanie do kontroli systemu, aby osiągnąć swój cel.

Ale jak znaleźli sposób na wstrzyknięcie tego złośliwego oprogramowania do tak dużej instalacji przemysłowej?

Hakerzy wcześniej rozpoczęli masową kampanię phishingową przed atakiem. Wiadomość phishingowa skłoniła pracowników do kliknięcia odsyłacza, który skłonił ich do zainstalowania złośliwej wtyczki podszywającej się pod makra.

Wspomniana wtyczka umożliwiła botowi BlackEnergy pomyślne zainfekowanie systemu sieciowego poprzez dostęp do backdoora. Hakerzy uzyskali następnie dane uwierzytelniające VPN, które pozwalają pracownikom zdalnie kontrolować system sieci.

Po wejściu do środka hakerzy poświęcili czas na monitorowanie procesów. A kiedy byli gotowi, wylogowali personel ze wszystkich systemów, przejęli kontrolę nad procesorem nadzoru i akwizycji danych (SCADA). Następnie wyłączyli zasilanie awaryjne, wyłączyli 30 podstacji energetycznych i użyli ataki typu „odmowa usługi” aby zapobiec raportom o przestojach.

4. Atak Trytona

Triton to skrypt złośliwego oprogramowania, którego celem są przede wszystkim przemysłowe systemy sterowania. Jego moc dała się odczuć, gdy w 2017 roku grupa hakerów wstrzyknęła go do czegoś, co eksperci uważali za elektrownię petrochemiczną w Arabii Saudyjskiej.

Atak ten był również zgodny z wzorcem phishingu i prawdopodobnie brutalnego wymuszania haseł w celu uzyskania wstępnego dostępu do systemów kontrolnych tylnymi drzwiami przed wstrzyknięciem złośliwego oprogramowania.

Następnie hakerzy uzyskali zdalny dostęp do stacji roboczej z instrumentami bezpieczeństwa (SIS), aby uniemożliwić im prawidłowe zgłaszanie błędów.

Związane z: Co to jest hack łańcucha dostaw i jak możesz zachować bezpieczeństwo?

Wyglądało jednak na to, że atakujący dopiero uczyli się, jak działa system, zanim przystąpili do rzeczywistego ataku. Podczas gdy hakerzy poruszali się i poprawiali system sterowania, cała fabryka została zamknięta dzięki pewnym systemom bezpieczeństwa, które aktywowały zabezpieczenie przed awarią.

5. Atak Stuxneta

Stuxnet to robak komputerowy, którego głównym celem są programowalne sterowniki logiczne (PLC) w obiektach jądrowych. Robak, opracowany przez wspólny zespół amerykańsko-izraelski, przemieszcza się za pośrednictwem pamięci flash USB z powinowactwem do systemu operacyjnego Windows.

Stuxnet działa poprzez przejmowanie systemów sterowania i modyfikowanie istniejących programów w celu spowodowania uszkodzeń sterowników PLC. W 2010 roku został użyty jako cyberbroń przeciwko zakładowi wzbogacania uranu w Iranie.

Po zainfekowaniu ponad 200 000 komputerów w obiekcie robak przeprogramował instrukcje wirowania w wirówce Uranium. To spowodowało, że zaczęły się gwałtownie obracać i ulegać samozniszczeniu.

6. Zakład Przetwórstwa Mięsnego JBS

Ponieważ zysk jest nieuchronny, hakerzy nie zwalniają przemysłu przetwórstwa spożywczego ze swoich ekspedycji. Motyw finansowy skłonił hakerów do porwania w JBS, największym na świecie zakładzie przetwórstwa mięsnego, w czerwcu 2021 roku.

W konsekwencji firma zamknęła wszystkie operacje w Ameryce Północnej i Australii. Stało się to kilka tygodni po ataku rurociągu kolonialnego.

Jak przebiegł atak na zakład przemysłowy JBS?

Podobnie jak w przypadku Colonial Pipeline, osoby atakujące zainfekowały system przetwarzania mięsa JBS oprogramowaniem ransomware. Następnie zagrozili, że usuną głośne informacje, jeśli firma nie zapłaci okupu w kryptowalucie.

Cyberataki przemysłowe podążają za wzorcem

Chociaż każdy z tych ataków ma plan działania, wzorcem, który możemy wywnioskować, jest to, że hakerzy musieli złamać protokoły uwierzytelniania, aby uzyskać wstępny wpis. Osiągają to poprzez brutalne forsowanie, phishing lub sniffing.

Następnie instalują złośliwe oprogramowanie lub wirusy w docelowym systemie przemysłowym, aby pomóc im osiągnąć swoje cele.

Cyberataki na instalacje przemysłowe są niszczycielskie

Cyberataki nasilają się i stają się przerażająco lukratywne w Internecie. Jak widzieliście, nie tylko wpływa na docelową organizację, ale także rozprzestrzenia się na ludzi czerpiących korzyści z jej produktów. Same operacje mechaniczne nie są podatne na cyberataki, ale kontrolujące je technologie cyfrowe sprawiają, że są one podatne na ataki.

To powiedziawszy, wpływ cyfrowych systemów sterowania na procesy techniczne jest cenny. Branże mogą jedynie wzmocnić swoje zapory i przestrzegać surowych zasad bezpieczeństwa, kontroli i równowagi, aby zapobiegać cyberatakom.

6 najlepszych praktyk bezpieczeństwa aplikacji internetowych w celu zapobiegania cyberatakom

Zapobieganie cyberatakom ma kluczowe znaczenie, a spryt podczas korzystania z aplikacji internetowych pomoże Ci chronić się w Internecie.

Czytaj dalej

O autorze