13 апреля, 2015
Будни немецких сталеваров.
Коротко: неизвестные кибернегодяи проникли в корпоративную сеть одного из немецких сталелитейных производств, откуда они получили доступ к компьютерам АСУТП (СКАДА) – к системам, управляющим сталелитейными процессами. Затем эти системы получили команды, которые привели к физическим разрушениям в доменной печи.
Да, это не самая свежая новость. О ней было известно ещё в конце 2014-го, но мы ждали каких-либо дополнительных деталей. До сих пор ждём, но их пока нет (засекречено), посему буду рассказывать о произошедших событиях с точки зрения опытного удалённого наблюдателя.
Итак, опять случилось. Очередное очень-очень нехорошее событие, о возможности которого так долго говорили секюрити-эксперты, включая меня. Так и хочется процитировать г-на Черномырдина: «Никогда не было, и вот опять». И вдогонку крылатая фраза забытого мною автора: «А мы предупреждали!»
Сразу сообщаю все известные и неизвестные нам (нам как компании и лично мне) подробности, чтобы не было недосказаного:
- Да, в Германии кибератака на промышленный объект (сталелитейку) привела к серьезным физическим разрушениям.
- Произошло это в прошлом (2014-м) году на неизвестном нам металлургическом заводе. Конкретная дата и время тоже неизвестны.
- Что конкретно было повреждено, выжила ли сама домна (или её надо будет разобрать и построить заново) – неизвестно.
- Как именно злоумышленники технически проникли в компанию, какие зеродеи и зловредства учиняли, какими командами рушили домну, какие именно PLC были под атакой – нам это всё тоже неизвестно.
Итого: нам вообще мало что известно, кроме самого факта атаки и её результата, когда живое коммерческое сталелитейное производство было физически разрушено при помощи злоумышленного внешнего кибер-внедрения.
Абзац. — есть такое ёмкое по смыслу и экспрессии слово. «Это – абзац!!!» То есть, надо сделать отступ и еще раз перечитать то, что было написано чуть выше.
Перечитали? Поняли? Ну, тогда едем дальше.
Это вторая после Стакснета подтвержденная история такого рода. (а сколько таких историй неподтвержденных? Кто же это знает? – шепчет мне в ухо давно живущая в моей черепушке кибер-паранойя :)
Сколько таких атак (успешных или не до конца успешных) происходит по всему миру? Ой, даже мне страшно представить. Напомню, полтора года назад мы в чисто исследовательских целях сделали honeypot — выставили в Интернет специальный сервер, притворявшийся промышленной системой. За месяц в него вломились 422 раза, а один раз даже сломали PLC-контроллер.
Kaspersky SCADA honeypot results. Who was the one at the bottom? #TheSAS2014 pic.twitter.com/QtwDvwaGxU
— Teague Newman (@teaguenewman) February 11, 2014
Подробно и популярно о проблемах промышленной безопасности читать здесь и здесь.
А теперь о тех «крохах» информации, которую удалось получить.
Технических подробностей атаки на немецких сталеваров нет совсем, есть только общие слова: злодеи отправили сотруднику завода фишинговый имейл, очень похожий на настоящий. Вероятнее всего, сотрудник открыл зловредное приложение или перешёл по ссылке в письме. И всё, «плохие парни» проникли в офисную сеть завода. А оттуда и в производственную сеть.
В результате атаки произошло «накопление отказов отдельных компонентов контрольных систем» (как в источнике). Из-за этого не получилось остановить доменную печь в штатном режиме. Ну и, как сухо сообщают немецкие безопасники, вследствие потери контроля над домной произошли «масштабные повреждения всей системы». Спецслужбы оценивают уровень хакеров как очень высокий. Они не только отлично разбирались в обычных ИТ-системах, но и хорошо знали системы промышленные. Также они понимали особенности производственных процессов на данном заводе.
А вот это уже даёт пищу для размышлений. Были ли физические разрушения целью злоумышленников? Возможно, разрушения есть случайный побочный эффект от атаки на компьютерные сети? В это верится с трудом — они же знали как управлять сталелитейной АСУТП!
К сожалению, дефицит достоверной информации – большая проблема для промышленной ИТ-безопасности.
Очень часто при инцидентах бывает трудно понять, что произошло – кибератака, технический сбой, ошибка оператора. Характерный пример: в 2010-м году на хладокомбинате в Алабаме зарегистрирован выброс почти 15 тонн аммиака, десятки пострадавших. Ходили разговоры, что это могло быть вызвано несанкционированным доступом к системе управления. Результат расследования — ошибка в программной логике. Проявилась она в виде большого аммиачного облака после того, как накануне предприятие просидело семь часов без электричества.
Вот ещё одна история, рассказанная аналитиком на SAS 2015: где-то на Ближнем Востоке в одном газопроводе начали случаться сбои и проблемы с давлением. При этом мастер-SCADA говорила, что вся аппаратура работает в штатном режиме. Есть версия, что злодеи проникли в пункт управления газопроводом и там ручками в реестр системы вписали новый сервис, который отправлял SCADA ложные показатели функционирования системы. В этом случае обошлось без разрушений, но ведь, получается, могли и бомбануть. Подробностей, увы, опять немного, т.е. их нет.
По понятным причинам жертвы не хотят рассказывать об успешных кибератаках. От этого падают акции, случаются неприятные выговоры, лишения и даже высокопоставленные увольнения. Поэтому многие инциденты решаются кулуарно, особенно в сфере атак на промышленные системы.
Но решается ли таким образом проблема в целом?
Наверное, какие-то дыры в софте потихоньку конопатятся, да и то не везде, но этого совершенно недостаточно. Отношения инженеров к АСУТП логично-утилитарное — не трогай, не будет вонять. Т.е., продолжая логическую цепочку, мы ждём, когда завоняет так, что уровень аромата перекроет потенциальный побочный аромат от внедрения более безопасных систем. Например, взрыв электростанции. ОК…
Меры нужны более серьёзные, повсеместно и срочно. Успешная атака на немецких металлургов – это ещё один громкий звоночек. Небольшой такой «Крепкий орешек-4» в масштабах отдельно взятого завода. Очередное напоминание, что ВСЕ современные промышленные системы просто нафаршированы компьютерами, которые управляются уязвимым софтом, и это большая-большая проблема… нет, не проблема, это – реальность!
Кибератаки на промышленное производство? Это уже не проблема, это — реальностьTweet