В последние пару лет старые страшилки об атаках на технологические сети стали реальностью. В этой статье мы поговорим о том, каким образом могут производиться такие атаки и кто за ними может стоять.
Вместе с тем инциденты с безопасностью технологических сетей случались и до июля 2010 года, когда был обнаружен печально известный червь Stuxnet. Именно он был самым первым зловредом, целью которого являлся физический выход оборудования из строя. Впрочем, об этом чуть ниже.
Это было и до Stuxnet
Еще в 2003 году эпидемия Slammer, которая бушевала на зарубежном Дальнем Востоке и в Северной Америке, затронула большое количество технологических систем, особенно в энергетике. Целью этого вредоноса были серверы баз данных MS SQL, активно применяемые и в АСУТП. И именно заражение Slammer, как полагают некоторые эксперты, стало одной из причин масштабной энергоаварии в США и Канаде 14 августа 2003-го, которая нанесла огромный ущерб и вошла в историю как «Великий блэкаут». Эта авария затронула 40 миллионов человек, а только прямой ущерб составил более 6 млрд. долл.
Вредоносное ПО часто создает большой объем паразитного трафика, что также вызывало целый ряд проблем с технологическими сетями. Это приводило, например, к простоям на российских железных дорогах в начале и середине 2000-х годов (см.: Спам, аутсорсинг информационной безопасности и нормативное регулирование / / Intelligent Enterprise. 2006. №1).
Положение осложняло то, что при создании технологических систем допускались ошибки. Заражения тем же Slammer скорее всего не случилось бы, будь технологические сети физически отделены от остальных, по которым зловред и распространялся. Но такое отделение создавало известные неудобства для интеграции различных систем.
Бывало и так, что необходимые меры безопасности не применялись из-за того, что они удорожают проект. И здесь тоже есть примеры, иногда из разряда анекдотических, пусть и с неприятными последствиями. Так, сотрудник компании, которая вела проект внедрения АСУТП канализации в одном из австралийских городов, периодически вторгался в систему, вызывая ложные сигналы тревоги о переполнении коллектора. В конце концов на предупреждения диспетчерской системы просто перестали обращать должное внимание. А когда аварийная ситуация возникла на самом деле, ее вовремя не устранили и нечистоты из переполненного коллектора хлынули наружу. Причем именно в тот момент, когда город посещала правительственная комиссия, которая вместе с мэром оказалась в зоне аварии.
Когда Рубикон перейден
Червь Stuxnet, обнаруженный в июле 2010-го, открыл, без преувеличения, новую эпоху. Прежде всего это первый образец самого настоящего кибероружия, которое было создано и использовано спецслужбами одного государства против, скажем так, нежелательной деятельности другого. И это стало ясно практически сразу. «Слив» информации, в котором подозревают отставного американского генерала Джеймса Картрайта, только лишь подтвердил данные сведения. «Win32 / Stuxnet разработан группой высококвалифицированных специалистов, хорошо ориентирующихся в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью дистанционного выполнения кода, причём некоторые из них остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черном рынке может достигать 10 тыс. евро за каждую. А цена уязвимости в обработке LNK / PIF-файлов (MS10–046), позволяющей червю распространяться через внешние носители, еще выше», — так оценили этот вредонос в лаборатории фирмы ESET. Другие лаборатории обнаружили использование подлинных цифровых подписей компаний JMicron и Realtek.
И при этом не ставилась задача монетизации деятельности вредоноса, что в нынешних условиях крайне нетипично. Вирус проявлял деструктивные функции на строго определенных классах систем и бездействовал на всех остальных, что указывает, пусть и косвенно, на то, что данный инструмент использовался для нарушения работоспособности совершенно определенного объекта.
Деятельность данного вируса, как уже было сказано выше, сводилась к физическому выводу оборудования из строя. Вредонос заражал системы диспетчерского управления WinCC компании Siemens, затем перепрограммировал контроллеры, управляющие центрифугами для обогащения урана, и задавал для них такие параметры работы, чтобы происходили их поломки. Этого также раньше никогда не делалось. Да и в целом сфера АСУТП и технологических систем была для вирусописателей своего рода terra incognita. Конечно, желание эксплуатировать их у злоумышленников скорее всего есть, но вот знания и умения для этого, по всей вероятности, отсутствуют. Не секрет, что авторы вредоносов берутся за подобное занятие вследствие невозможности найти источники более легального заработка. А специалисты по АСУТП дефицитны и довольно высокооплачиваемы. Кроме того, они недостаточно хорошо разбираются в обычных ИТ вообще и в ИТ-безопасности в частности, что создает дополнительные проблемы в содержательном развитии технологических сетей.
Не вирусом единым. Как можно взломать или заразить систему
Основным способом проникновения в технологические сети является эксплуатация всякого рода уязвимостей. Их счёт, как показал анализ того же Stuxnet, во всех широко используемых системах идет на многие десятки. Какие-то выявляются и закрываются, а какие-то и остаются. Но прежде всего здесь нужно говорить о системах диспетчерского управления, или SCADA в английской аббревиатуре. Специалистов по таким решениям не так много, и помимо Stuxnet других инцидентов, где эксплуатировались бы данные уязвимости, пока не выявлено.
С помощью перехвата управления SCADA-системами можно добиться очень многого, что показали результаты деятельности Stuxnet. В частности, получить доступ к контроллерам, а от них — к различным исполнительным устройствам, которые непосредственно управляют тем или иным оборудованием. А это дает потенциальному злоумышленнику такие перспективы, что просто дух захватывает. Хочется организовать утечку токсичного вещества — никаких серьезных проблем. Устроить взрыв на химическом, нефтеперерабатывающем предприятии, дезорганизовать движение в городе или на железной дороге — несколько сложнее и дольше, но тоже можно. Наладить очередной «великий блэкаут» — уже не такая простая, но в принципе тоже вполне реализуемая задача, пусть и требующая тщательного планирования и разведки. Впрочем, для этого нужно знать «внутренности» АСУТП, причем именно тех, которые используются на предприятии, которое предполагается атаковать.
Задачу потенциальному злоумышленнику облегчает интеграция систем. Ни для кого не секрет, что ПО автоматизации бизнес-процессов, в частности ERP-система, взаимодействует с решениями низкоуровневой автоматизации, в том числе с теми же SCADA. Иногда на ERP частично или даже полностью передается управление производством. Но, во-первых, в них тоже есть уязвимости, во-вторых, ERP-системы подключены к публичному Интернету, и в-третьих, технология взлома ПО для автоматизации бизнес-процессов неплохо отработана ИТ-андеграундом (см.: Атака на ERP / / Intelligent Enterprise. 2009. №19–20). Интеграция систем означает, что SCADA также оказываются подключенными к публичному Интернету, пусть и время от времени. Но этого времени вполне достаточно не только для обмена данными, но и, например, для того, чтобы занести вредоносное ПО. Это показали уже последствия заражения «червем» Slammer в 2003 году, о которых мы говорили выше. Однако антивирусное ПО на ПК, где работают SCADA, устанавливается редко, регулярного обновления также не производится. Да и системное ПО там, что называется, второй свежести. Положение усугубляется еще и тем, что ИТ-персонал, чтобы облегчить себе работу, часто оставляет ПК, где установлены диспетчерские системы, подключенными к Интернету, пусть и с использованием неких инструментов защиты. Способы взлома таких инструментов являются секретом Полишинеля.
Отдельная история — использование уязвимостей сетевого оборудования, особенно беспроводного, которое активно применяется при создании технологических сетей. Как показывает практика, у ИТ-персонала далеко не всегда доходят руки до того, чтобы хотя бы заменить заводские пароли, а ведь найти их не составляет труда. В подобных условиях дезорганизация работы такой сети, например, с помощью DDoS-атаки становится тривиальной задачей, для решения которой можно обойтись простой доработкой дешевого массового оборудования, что под силу даже подросткам.
Атака — кому это нужно?
Итак, подобного рода способы нарушения работоспособности отдельных производств начали использовать спецслужбы. И нет никаких гарантий, что нечто подобное не повторится где-то в другом месте. Тем более, что такие случаи были отмечены и после 2010 года.
Средствами из разряда кибероружия могут воспользоваться различные политические группировки, в том числе допускающие террористические методы. А таких, надо сказать, немало. Как и киберактивистов, многие из которых полагают, что великая цель оправдывает любые средства, направленные на ее достижение. А результаты кибератак на объекты инфраструктуры могут быть даже более разрушительными, чем «обычные» теракты. Да и угроза такой атаки — неплохой инструмент для шантажа оппонента, для чего вполне достаточно лишь показать, что она реальна. Плюс ко всему террористы вполне могут задействовать в своих целях внутренних сотрудников атакуемой организации. Такая практика у них очень хорошо отработана. Это может быть шантаж, угрозы, те или иные манипуляции.
Подобного рода средства вполне могут применить и конкуренты. К слову, одна из версий о происхождении Stuxnet сводилась к тому, что за созданием этого вредоноса стояли конкуренты Siemens. Тоже вполне правдоподобный вариант, особенно если речь идет о крупной компании. А Siemens обладает достаточными ресурсами, как материальными, так и людскими.
Нельзя исключать и того, что инструменты для атак на производственные системы освоит преступный мир. Тем более, что традиционный криминал активно сращивается с киберпреступностью. И использование таких инструментов для шантажа и вымогательства не выглядит чем-то совсем невероятным. Если, к примеру, в качестве объекта преступных посягательств выбрать крупное предприятие, то добыча будет куда больше, чем при шантаже с помощью DDoS-атак турфирм или интернет-магазинов. А организовать это ненамного сложнее. По крайней мере не потребуется дорогостоящего оборудования и специальных знаний. Плюс ко всему можно использовать в своих целях и сотрудников компании, и такая практика отработана у традиционного криминала не хуже, чем у террористов.
Насколько угроза реальна?
Готовых ответов на этот вопрос нет. Всё зависит от специфики конкретного производства, используемого там оборудования и ПО. Однозначно можно лишь констатировать, что если используется беспроводное сетевое оборудование, то вероятность возникновения всяческих сложностей будет существенно выше из-за того, что администраторы могли где-то оставить заводской пароль, предоставив тем самым злоумышленникам возможность вторгнуться в систему. В остальных случаях необходим как минимум серьезный и обстоятельный аудит всех систем, чтобы выявить потенциальные уязвимости и закрыть их. Задача не слишком простая, но обойтись без этого нельзя.