Будни немецких сталеваров.

Previous Entry Поделиться Next Entry
13 апреля, 2015
e_kaspersky
Коротко: неизвестные кибернегодяи проникли в корпоративную сеть одного из немецких сталелитейных производств, откуда они получили доступ к компьютерам АСУТП (СКАДА) – к системам, управляющим сталелитейными процессами. Затем эти системы получили команды, которые привели к физическим разрушениям в доменной печи.

Да, это не самая свежая новость. О ней было известно ещё в конце 2014-го, но мы ждали каких-либо дополнительных деталей. До сих пор ждём, но их пока нет (засекречено), посему буду рассказывать о произошедших событиях с точки зрения опытного удалённого наблюдателя.

Итак, опять случилось. Очередное очень-очень нехорошее событие, о возможности которого так долго говорили секюрити-эксперты, включая меня. Так и хочется процитировать г-на Черномырдина: «Никогда не было, и вот опять». И вдогонку крылатая фраза забытого мною автора: «А мы предупреждали!»

Сразу сообщаю все известные и неизвестные нам (нам как компании и лично мне) подробности, чтобы не было недосказаного:

- Да, в Германии кибератака на промышленный объект (сталелитейку) привела к серьезным физическим разрушениям.
- Произошло это в прошлом (2014-м) году на неизвестном нам металлургическом заводе. Конкретная дата и время тоже неизвестны.
- Что конкретно было повреждено, выжила ли сама домна (или её надо будет разобрать и построить заново) – неизвестно.
- Как именно злоумышленники технически проникли в компанию, какие зеродеи и зловредства учиняли, какими командами рушили домну, какие именно PLC были под атакой – нам это всё тоже неизвестно.

Итого: нам вообще мало что известно, кроме самого факта атаки и её результата, когда живое коммерческое сталелитейное производство было физически разрушено при помощи злоумышленного внешнего кибер-внедрения.

Example+of+a+steel+worksИсточник

Абзац. -- есть такое ёмкое по смыслу и экспрессии слово. «Это – абзац!!!»  То есть, надо сделать отступ и еще раз перечитать то, что было написано чуть выше.

Перечитали? Поняли? Ну, тогда едем дальше.

Это вторая после Стакснета подтвержденная история такого рода. (а сколько таких историй неподтвержденных? Кто же это знает? – шепчет мне в ухо давно живущая в моей черепушке кибер-паранойя :)

Сколько таких атак (успешных или не до конца успешных) происходит по всему миру? Ой, даже мне страшно представить. Напомню, полтора года назад мы в чисто исследовательских целях сделали honeypot - выставили в Интернет специальный сервер, притворявшийся промышленной системой. За месяц в него вломились 422 раза, а один раз даже сломали PLC-контроллер.

Подробно и популярно о проблемах промышленной безопасности читать здесь и здесь.

А теперь о тех «крохах» информации, которую удалось получить.

Технических подробностей атаки на немецких сталеваров нет совсем, есть только общие слова: злодеи отправили сотруднику завода фишинговый имейл, очень похожий на настоящий. Вероятнее всего, сотрудник открыл зловредное приложение или перешёл по ссылке в письме. И всё, «плохие парни» проникли в офисную сеть завода. А оттуда и в производственную сеть.

В результате атаки произошло «накопление отказов отдельных компонентов контрольных систем» (как в источнике). Из-за этого не получилось остановить доменную печь в штатном режиме. Ну и, как сухо сообщают немецкие безопасники, вследствие потери контроля над домной произошли «масштабные повреждения всей системы». Спецслужбы оценивают уровень хакеров как очень высокий. Они не только отлично разбирались в обычных ИТ-системах, но и хорошо знали системы промышленные. Также они понимали особенности производственных процессов на данном заводе.

А вот это уже даёт пищу для размышлений. Были ли физические разрушения целью злоумышленников? Возможно, разрушения есть случайный побочный эффект от атаки на компьютерные сети? В это верится с трудом - они же знали как управлять сталелитейной АСУТП!

К сожалению, дефицит достоверной информации – большая проблема для промышленной ИТ-безопасности.

Очень часто при инцидентах бывает трудно понять, что произошло – кибератака, технический сбой, ошибка оператора. Характерный пример: в 2010-м году на хладокомбинате в Алабаме зарегистрирован выброс  почти 15 тонн аммиака, десятки пострадавших.  Ходили разговоры, что это могло быть вызвано несанкционированным доступом к системе управления. Результат расследования - ошибка в программной логике. Проявилась она в виде большого аммиачного облака после того, как накануне предприятие просидело семь часов без электричества.

Вот ещё одна история, рассказанная аналитиком на SAS 2015: где-то на Ближнем Востоке в одном газопроводе начали случаться сбои и проблемы с давлением. При этом мастер-SCADA говорила, что вся аппаратура работает в штатном режиме. Есть версия, что злодеи проникли в пункт управления газопроводом и там ручками в реестр системы вписали новый сервис, который отправлял SCADA ложные показатели функционирования системы. В этом случае обошлось без разрушений, но ведь, получается, могли и бомбануть. Подробностей, увы, опять немного, т.е. их нет.

По понятным причинам жертвы не хотят рассказывать об успешных кибератаках. От этого падают акции, случаются неприятные выговоры, лишения и даже высокопоставленные увольнения. Поэтому многие инциденты решаются кулуарно, особенно в сфере атак на промышленные системы.

Но решается ли таким образом проблема в целом?

Наверное, какие-то дыры в софте потихоньку конопатятся, да и то не везде, но этого совершенно недостаточно. Отношения инженеров к АСУТП логично-утилитарное - не трогай, не будет вонять. Т.е., продолжая логическую цепочку, мы ждём, когда завоняет так, что уровень аромата перекроет потенциальный побочный аромат от внедрения более безопасных систем. Например, взрыв электростанции. ОК...

Меры нужны более серьёзные, повсеместно и срочно. Успешная атака на немецких металлургов  – это ещё один громкий звоночек.  Небольшой такой «Крепкий орешек-4» в масштабах отдельно взятого завода. Очередное напоминание, что ВСЕ современные промышленные системы просто нафаршированы компьютерами, которые управляются уязвимым софтом, и это большая-большая проблема... нет, не проблема, это – реальность!!



Метки: , ,
Previous Entry Поделиться Next Entry
Возможно также уязвимости коллекционируются для последующего использования или продажи

Да, не исключено. И это - очень, - ОЧЕНЬ! - плохая новость..
Ведь неизвестно кто и зачем в будущем купит или использует этот метод. Или уже куплено, разрабатывается и планируется. Ой, страшно.

Вот мне не понятно- неужели нельзя физически изолировать критически важные компьютеры и сети от внешнего мира?
Я не специалист по вирусам и защите от них, но мне совершенно не понятно, зачем , грубо говоря, нужен хотя бы один проводочек, хотя бы один дисковод в системе, управляющей промышленным процессом, по которым информация извне могла бы проникнуть в нее. Ну за исключением опять же физически изолированной от внешних сетей консолей операторов и сисадминов.
Или домнам и мартенам скучно без интернета, они остро нуждаются в общении по соц.сетям и получених писем с поздравлениями с ДР?

Stuxnet, предположительно использовавшийся для атаки на иранские ядерные объекты, распространялся на флешках.

удивлюсь если стояло что-то, отличающееся от WinCC+S7400 :).
вот винсисю вроде как и вскрыли.

на наших прсторах дейсвительно чаще всего по старинке стараются отделять технологические компы и особенно ПЛК от внешней сети.

а если дается доступ то только на просмотр, без изменения уставок и управления оборудованием. да и то лучше всего на время вовнешку выходить, "по звонку"

зы. на картинку для привлечения внимания можно было и что-то более похожее на домну поставить

Edited at 2015-04-13 13:17 (UTC)

Если речь о какой-нибудь платформе промышленной автоматизации с немецкими корнями, то как вариант: http://www.kontron.com/industries/industrial-automation . Это совсем другая архитектура, это совсем не Siemens.
З.Ы. Сейчас это, походу, Франция, но промавтоматизация у них на ресурсах купленной немецкой фирмы PEP.

Может стоит отказаться от пиндоского софта?

Разницы-то. Самый надёжный способ потерять девственность --- лечь в одну постель, вне зависимости от национальности. Бизнес- и технологические машины в одной сети --- самая предпосылистая предпосылка: злобную флешку ещё когда-то принесут, а провод уже готовый протянут.

Выставлять в интернет компьютеры связанные с производством (банками, акциями и пр.) - верх идиотизма. Проблема переноса данных, статистика ввод - вывод должна решаться специальным образом, например через несовместимые системы.

Они могли быть выставлены не в Интернет, а удалённо доступны по VPN, которая в качестве транспорта использовала публичные каналы. Если у них общий центр управления, откуда управляют всеми автоматизированными процессами предприятий, то это вполне реальный вариант.

Чьи-то фантазии, не обращайте снимания..
Всегда технологическая сеть отделяется от корпоротивной. Логически, а часто и физически.

Увы-увы-увы. Если б на практике люди всегда делали так, как велит хороший учебник...

Черномырдин волевой мужик был,сейчас таких не хватает

Мессидж: дайте денег!
Однако - проблема в людях. И в описанном случае - сотрудник лазил в личную почту со служебного компьютера. Тут никакой антивирус не спасет.
А казалось бы, чего проще - планшет или смартфон у каждого.

И теперь все должны купить антивирус Касперского.

Да ладно! Совсем не обязательно.
Большинство уже купили. Им нужно только продлить со скидкой.
А вот остальным - да. Нужно купить :)

С другой стороны это хорошо. Не требуются бомбы и ракеты. Достаточно мозгов и ассемблера.

да ничо особенно собственно. если доступ появился в ту сеть где скада и АРМы болтаются, то как правило, там полюбому можно сгрузить все что надо и запустить собственный АРМ на своем компе.

Прямо напрашивается мысль о купленном сис.админе.

По теме:

Система защитных сооружений в Санкт-Петербурге:
http://engineering-ru.livejournal.com/158799.html (фоторепортаж)

И конечно, особо внимание привлекают:
http://img-fotki.yandex.ru/get/9317/160644702.9e/0_c53bd_4c559177_XXL.jpg
http://img-fotki.yandex.ru/get/9826/160644702.9e/0_c53c1_3a2faa02_XXL.jpg
и далее


?

Log in

No account? Create an account