Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Wraz z rozwojem przemysłowego Internetu rzeczy (IIoT) oraz związanym z tym coraz częstszym łączeniem technologii operacyjnych (OT) z informacyjnymi (IT), infrastruktura fizyczna stała się podatna na przeprowadzane zdalnie cyberataki. Jednym z pierwszych złośliwych narzędzi, które zostały wykorzystane przeciwko niej, był robak Stuxnet, odkryty dziesięć lat temu - w czerwcu 2010 roku. Korzystając z tej okazji analitycy z FortiGuard Labs firmy Fortinet przypominają historię najważniejszych ataków na systemy przemysłowe.
Stuxnet pojawił się na czołówkach gazet, ponieważ atakował przemysłowe systemy sterujące SCADA, a konkretnie programowalne sterowniki logiczne (PLC), które umożliwiają automatyzację procesów elektromechanicznych. Jego kod był wyjątkowo skomplikowany i miał rozmiar ponad 500 kilobajtów, co jest unikalne wśród złośliwych narzędzi. Zdołał przedostawać się do urządzeń fizycznych i systemu Windows, a następnie kilkukrotnie replikować w celu poszukiwania oprogramowania, które docelowo miał zaatakować.
Od czasu odkrycia Stuxnetu na całym świecie miało miejsce wiele innych przypadków ataków wymierzonych w systemy technologii operacyjnych. Według raportu Fortinet o stanie bezpieczeństwa OT, aż 74% przedsiębiorstw doświadczyło w ciągu ostatnich 12 miesięcy naruszenia ochrony systemów przemysłowych.
Przegląd najważniejszych cyberataków na systemy przemysłowe
Obserwując najważniejsze cyberataki na systemy przemysłowe w ciągu ostatniej dekady, łatwo zauważyć, jak rozwinęły się umiejętności i możliwości techniczne cyberprzestępców. Znacznie bardziej niepokojąca jest jednak ich gotowość do wyrządzania szkód nie tylko w środowiskach cyfrowych, ale i w infrastrukturze fizycznej. Może mieć to wpływ na bezpieczeństwo publiczne oraz ludzkie zdrowie i życie.
Stuxnet jest jednym z pierwszych przykładów, które pokazały światu, jaki wpływ mogą mieć cyberataki na infrastrukturę fizyczną. Wzrost liczby nowych zagrożeń radykalnie zmienił sposób funkcjonowania przemysłowych systemów ICS/SCADA. Specjaliści z FortiGuard Labs przeanalizowali niektóre z najważniejszych cyberataków na systemy przemysłowe, które miały miejsce w ciągu ostatniej dekady.
2011: Duqu
Złośliwe oprogramowanie, odkryte przez węgierskich analityków, które pod względem struktury bardzo przypominało Stuxnet. Duqu został zaprojektowany w celu kradzieży informacji (tzw. infostealer) poprzez ukrycie transmisji danych w ruchu HTTP i przesyłanie złośliwych plików w formacie jpg. Odkrycie tego narzędzia unaoczniło jak w procesie ataku ważny jest etap rekonesansu, w trakcie którego złośliwy kod wykrada informacje. Bardzo często bowiem jest to pierwszy krok z zaplanowanej wcześniej serii kolejnych etapów ataku.
2013: Havex
Havex jest złośliwym oprogramowaniem typu Remote Access Trojan (RAT), które zostało odkryte w 2013 r. Stworzone przez grupę przestępczą znaną jako Grizzly Steppe, Havex atakował systemy kontroli przemysłowej (ICS) i komunikował się z serwerem nadzorującym pracę złośliwego kodu (Command&Control, C2), z którego dostarczane były kolejne moduły zawierające niebezpieczne narzędzia.
Kod tego narzędzia, specjalnie dostosowany do atakowania systemów ICS, gromadził dane przesyłane przez różne serwery z wykorzystaniem standardu otwartej platformy komunikacyjnej (Open Platform Communication, OPC), w tym takie informacje jak identyfikator klas CLSID, nazwę serwera, identyfikator programu, wersję OPC, informacje o producencie atakowanej platformy, stan pracy, liczbę grup i przepustowość serwera, a także był w stanie wyliczyć znaczniki OPC. Komunikując się z infrastrukturą C2, Havex otrzymywał instrukcje, które dawały możliwości nieznane dotąd złośliwemu oprogramowaniu.
2015: BlackEnergy
Odkryte w 2015 r. oprogramowanie BlackEnergy wykorzystywało makra w dokumentach Microsoft Excel. Złośliwe narzędzie dostawało się do sieci za pośrednictwem wiadomości e-mail typu spear-phishing, wysyłanych do konkretnych, starannie wybranych jako cel, pracowników. Kampania ta udowodniła, że cyberprzestępcy mogą manipulować infrastrukturą krytyczną na dużą skalę.
2017: TRITON
Złośliwe oprogramowanie, które jest ukierunkowane szczególnie na systemy zapewniające ochronę rozwiązań przemysłowych (Safety Instrumented System, SIS). Triton modyfikuje oprogramowanie układowe w pamięci, aby dodać do niego złośliwe funkcje. Pozwalało to przestępcom odczytać lub zmodyfikować zawartość pamięci i zaimplementować niestandardowy kod wraz z dodatkowymi instrukcjami, które miały na celu wyłączenie, spowolnienie pracy lub zmodyfikowanie rozwiązań umożliwiających bezpieczne wstrzymanie pracy procesu przemysłowego. Triton to pierwsze znane złośliwe oprogramowanie zaprojektowane specjalnie do atakowania systemów bezpieczeństwa przemysłowego, chroniących ludzkie życie.
W 2020 roku konieczna szeroka świadomość ryzyka
Bezpieczeństwo systemów ICS/SCADA powinno być traktowane priorytetowo ze względu na możliwe konsekwencje takiego ataku. Bardzo ważne również jest, aby reguły polityki bezpieczeństwa w przedsiębiorstwach były zgodne z obowiązującymi przepisami prawa.
Ryzyko związane z systemami przemysłowymi jest coraz szerzej znane i coraz bardziej priorytetowo traktowane. Istnieją instytucje rządowe, jak ICS-CERT w USA czy Centrum Ochrony Infrastruktury Narodowej (CPNI) w Wielkiej Brytanii, które publikują porady i wytyczne dotyczące najlepszych praktyk w zakresie bezpieczeństwa systemów ICS. Odpowiednie normy zostały również opracowane przez Międzynarodowe Towarzystwo Automatyki (ISA). Natomiast organizacja non-profit ICS-ISAC podejmuje działania edukacyjne dotyczące świadomości zagrożeń i najlepszych praktyk, aby pomóc obiektom rozwijać świadomość dotyczącą sytuacji, w których może być zagrożone bezpieczeństwo lokalne, narodowe i międzynarodowe.
Źródło: Fortinet
