Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Șapte ani după Stuxnet: securitatea sistemelor industriale este încă o dată în centrul atenției

2017-06-27

Luna iunie pare a fi bogată în istorie în ceea ce privește evenimentele importante legate de securitatea sistemelor industriale.

De exemplu, 17 iunie 2010, poate fi considerată ziua în care a fost descoperit Stuxnet, malware-ul din spatele primului atac cibernetic, ce a vizat infrastructura critică, în timp ce în iunie 2014 au existat rapoarte legate de atacul împotriva unui număr de companii, unde a fost utilizat Havex, un troian de acces care colectează date din sistemele ISC / SCADA.

În plus, recent, în iunie 2017, ESET a publicat analiza lui Industroyer, o altă amenințare majoră pentru sistemele ICS.

Stuxnet: primul atac de acest tip și fără egal în complexitate

Stuxnet a fost un vierme de calculator, descoperit de compania de securitate IT VirusBlokAda din Belarus pe data de 17 iunie 2010 (ziua în care a fost publicată descrierea despre malware – la acel moment sub un alt nume).

Acest program malware a avut un rol esențial în ceea ce se consideră a fiind cel mai sofisticat atac cibernetic de până acum: o operațiune împotriva programului nuclear iranian. În ciuda mai multor capcane în atac și a câtorva erori la nivelul malware-ului Stuxnet, atacul a încetinit procesul de îmbogățire a uraniului la Natanz (o instalație nucleară iraniană) și a întârziat în cele din urmă procesul de creare de arme nucleare de către Iran.

Stuxnet a fost primul sistem malware descoperit, ce vizează sistemele industriale și primul care a inclus un rootkit cu o logică programabilă – o tehnică de hoție folosită în programele malware, bazată pe falsificarea informațiilor despre prezența codului pentru a se ascunde. În cazul Stuxnet, s-a reușit camuflarea interferenței cu viteza de rotație a motorului de la sistemele de monitorizare.

Atacul Stuxnet a avut mai multe etape. În primul, Stuxnet, însuși un vierme de calculator, s-a răspândit fără discriminare în rețele. Exploatând patru vulnerabilități necunoscute anterior – așa-numitele vulnerabilități zero-day, acesta a livrat o sarcină utilă specializată care vizează anumite sisteme SCADA, reușind să reprogrameze dispozitivele.

Este cunoscut faptul că operațiunea Stuxnet a deteriorat centrifugele utilizate în procesul de îmbogățire a uraniului prin modificarea vitezei rotorului. Vibrațiile și distorsiunile cauzate de schimbările mari și bruște ale vitezei lor au distrus – conform estimărilor publicate – aproximativ 1000 de centrifuge. În condițiile în care iranienii nu au putut să le înlocuiască repede, ei au ajuns să producă uraniu mai puțin îmbogățit decât ar fi făcut în condiții normale.

O altă fază a atacului a fost subestimată în descrierile operațiunii Stuxnet. Înainte ca atacatorii să recurgă la modificarea vitezei centrifugelor, au încercat să deterioreze rotorii prin suprapresiune.

Centrifugele de gaze pentru îmbogățirea uraniului sunt extrem de sensibile la presiunea procesului. În mod normal, ele funcționează sub presiune sub vid. Orice creștere scade eficiența îmbogățirii, creșterile mai mari ducând la modificări ale procesului care determină o presiune mecanică mai mare asupra rotorului. Atacatorii au folosit această vulnerabilitate, iar sarcina utilă a acestei variante timpurii a lui Stuxnet a preluat controlul complet.

Acționând ca un om în interior, atacatorii au manipulat valorile procesului în interiorul controller-ului. Drept rezultat, codul legitim rulează pe baza unor valori false de intrare pentru a ajunge la rezultatul dorit: presiunea din centrifuge a fost mult mai mare decât ar fi trebuit în timp ce sistemul a raportat valori standard operatorilor săi.

Motivul pentru care daunele nu au fost așa mari cum sperau atacatorii, făcându-i pe aceștia să proiecteze un al doilea payload – menit să modifice viteza – depășește sfera acestui articol. În ceea ce privește cauza pentru care atacatorii au diminuat treptat atenția în vederea rămânerii sub radar și, în cele din urmă, au lăsat malware-ul să se sustragă din mediile vizate – poate că nu vom ști niciodată.

Indiferent dacă operațiunea Stuxnet a avut succes din punct de vedere geopolitic, aceasta trebuie evaluată pe deplin (dat fiind faptul că detaliile rămân ascunse în arhivele serviciilor secrete, o astfel de evaluare trebuie să aștepte până la declasificarea lor).

Din punct de vedere al securității cibernetice, Stuxnet a fost un eveniment revoluționar care ar fi trebuit să fie un apel de conștientizare pentru toți cei implicați în securitatea sistemelor industriale. Ralph Langner a afirmat în lucrarea sa renumită, To Kill a Centrifuge: “În timp ce atacul era foarte specific, tactica de atac și tehnologia nu sunt; acestea sunt generice și pot fi utilizate și împotriva altor obiective”.

Patru ani după Stuxnet: Atacurile de colectare a i nformațiilor de la Havex

În iunie 2014, un alt program malware conceput pentru a ataca sistemele industriale a fost detectat ca atacând mai multe companii din Europa. Producătorii de aplicații și mașini industriale din Europa și SUA au fost vizați de Havex, un troian cu acces de la distanță care colectează date din sistemele ISC / SCADA.

Atacul, care poate fi etichetat ca atac de tip watering hole, a fost, evident, o încercare de recoltare a informațiilor necesare pentru atacuri ulterioare asupra infrastructurilor construite folosind hardware de la producătorii vizați.

Deși nu a fost detectat niciun astfel de atac, atacul de la Havex din 2014 ne reamintește că infractorii cibernetici – aceștia fie sponsorizați de stat (după cum se poate vedea în cazul lui Stuxnet), fie motivați financiar – dispun de instrumente și informații disponibile pentru a ataca sistemele industriale.

Șapte ani după Stuxnet: Puterea întreruptă de malware

Pe data de 12 iunie 2017, ESET a publicat analiza pentru Industroyer, cea mai mare amenințare la adresa sistemelor de control industrial de la Stuxnet încoace.

Industroyer este malware-ul considerat vinovat pentru închiderea grilei electrice de la Kiev, capitala Ucrainei, în decembrie 2016. Mai mult decât atât, Industroyer este primul program malware capabil să atace automat rețelele electrice (în comparație cu BlackEnergy, utilizat de asemenea pentru atacarea sursei de energie din Ucraina, unde întreruperea alimentării cu energie a trebuit executată manual). Cu ajustări minore, este capabil să facă un rău semnificativ pentru sistemele de energie electrică din regiunea EMEA și un rău potențial în alte părți ale lumii, inclusiv în SUA. De asemenea, ar putea fi reintrodus să vizeze alte tipuri de infrastructură critică, cum ar fi utilitățile pentru apă sau gaze sau sistemele de control al transportului.

Sistemele industriale au nevoie de protecție

O înțelegere completă a metodelor introduse de Stuxnet (pentru mai multe detalii, consultați documentația completă Stuxnet under the Microscrope) este necesară pentru evaluarea riscurilor cu care se confruntă sistemele industriale. Tehnologiile lor de bază nu erau destinate să fie conectate la internet și au fost proiectate fără a se ține cont de o siguranță adecvată.

De asemenea, strategiile de atenuare care ar putea funcționa bine în domeniul securității IT – lacune în aer, tehnologii anti-malware sau patch-uri de securitate – sunt mult mai greu de implementat în aceste tipuri de medii.

Toate acestea ne lasă cu o concluzie îngrijorătoare: sofisticarea acestor amenințări care vizează sistemele de tip ICS, combinată cu nivelul de calificare al autorilor și / sau al operatorilor, este în contrast cu nivelul de securitate interioară în anumite zone ale infrastructurii ICS.

 

ROBERT LIPOVSKY
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *