Vírusový radar: Sedem rokov po Stuxnete majú priemyselné systémy ďalší vážny problém

Vírusový radar: Sedem rokov po Stuxnete majú priemyselné systémy ďalší vážny problém

Stuxnet bol počítačový červ, ktorý 17. júna 2010 objavila bieloruská bezpečnostná spoločnosť VirusBlokAda. Tento škodlivý kód mal kľúčovú úlohu v niečom, čo sa považuje za najsofistikovanejší kybernetický útok. Išlo o operáciu zacielenú na iránsky nukleárny program. Napriek niekoľkým chybám v škodlivom kóde Stuxnet sa útočníkom podarilo spomaliť proces obohacovania uránu v jadrovom komplexe Natanz a v konečnom dôsledku spomaliť výrobu jadrových zbraní Iránom. Stuxnet bol prvý objavený škodlivý kód, ktorého cieľom boli priemyselné systémy.

Útok Stuxnetom mal viacero fáz. Počas prvej sa červ šíril hlava-nehlava po sieti. Zneužitím štyroch predtým neznámych (takzvaných zero-day) zraniteľností priniesol do systému špecializovaný „náklad“, ktorého cieľom boli špecifické systémy SCADA. Tento náklad dokázal preprogramovať zariadenia.

Je všeobecne známe, že operácia Stuxnet poškodila centrifúgy používané v procese obohacovania uránu tak, že pozmenila rýchlosť rotorov. Vibrácie a pokrivenia zapríčinené veľkými a náhlymi zmenami rýchlosti zničili podľa publikovaných odhadov okolo tisíc centrifúg. Irán ich nedokázal rýchlo vymeniť, a tak vyprodukoval menej obohateného uránu.

Či bola operácia Stuxnet úspešná z geopolitického pohľadu, to si netrúfame hodnotiť. Z  bezpečnostného pohľadu však išlo o prelomový moment, ktorý mal poslúžiť ako varovanie pre tých, ktorí sa starajú o zabezpečenie priemyselných systémov. Ako napísal výskumník Ralph Langner vo svojej slávnej štúdii Ako zabiť centrifúgu, „útok bol vysoko špecifický, taktika a technológia však nie. Sú generické a môžu byť použité aj na iné ciele“.

O sedem rokov neskôr, 12. júna 2017, vydal ESET svoju analýzu škodlivého kódu Industroyer, najväčšej hrozby pre priemyselné systémy od čias Stuxnetu. Industroyer bol veľmi pravdepodobne malvér, ktorý v decembri 2016 vypol elektrickú sieť v ukrajinskom hlavnom meste Kyjev. Dôležitejšie je, že Industroyer je úplne prvý škodlivý kód schopný napádať elektrické rozvodové sústavy automaticky. Na porovnanie, napríklad BlackEnergy bol takisto použitý na útok na ukrajinskú sieť, ale výdavok musel byť spustený manuálne. Industroyer je však schopný s drobnými zmenami útočiť na elektrické distribučné systémy aj v iných častiach Európy a sveta vrátane USA. Môže byť takisto zmenený tak, aby mohol útočiť na iné typy kritickej infraštruktúry, ako je napríklad plyn, voda alebo transportné kontrolné systémy.

Na účely vyhodnotenia rizík, s ktorými musia priemyselné systémy rátať, je dôležité plne chápať a rozumieť útokom, ktoré do kybernetického sveta priniesol Stuxnet. Technológie používané priemyselnými kontrolnými systémami nemali byť nikdy pripojené k internetu a takisto neboli pred desiatkami rokov vytvorené s dôrazom na bezpečnosť.

Aj techniky bežne používané v IT sfére na zníženie možnosti útoku, ako sú napríklad airgapovanie zariadení, antimalvérové technológie a bezpečnostné záplaty, sú v týchto systémoch oveľa ťažšie nasaditeľné.

Všetky tieto fakty nám ponúkajú znepokojivý záver: Komplikovanosť priemyselných kontrolných systémov v kombinácii s vysokou úrovňou schopností útočníkov je vo vysokom kontraste s (ne)zabezpečenosťou niektorých častí priemyselnej infraštruktúry.

 

Podobné články