Image Image Image Image Image Image Image Image Image Image
Scroll to top

Top

Komentarų nėra

Ką mes iš tiesų žinome apie kibernetinį išpuolį prieš Ukrainos elektros tiekimo įmones? - Sprendimai verslui

Ką mes iš tiesų žinome apie kibernetinį išpuolį prieš Ukrainos elektros tiekimo įmones?
Sigita
  • Paskelbta 2016-01-12
  • https://www.sprendimaiverslui.lt

Neseniai pasirodęs viruso, atsakingo už elektros tiekimo įmonių darbo nutraukimą Ukrainoje, atradimas sukėlė nemažai spekuliacijų ir netgi neteisingų interpretacijų. ESET tyrėjai šiuo klausimu išleido išsamią viruso ir jo funkcijų analizę. Būtent ši kenkėjiška programa greičiausiai yra susijusi su masiniu elektros nutraukimu, kurį patirti teko šimtams tūkstančių Ukrainos piliečių.

ESET vyriausiasis kenkėjiškų programų tyrėjas Robert Lipovsky sako, jog tai, ką pavyko išsiaiškinti eskpertams – tik maža dalelė didelėje ir neaiškioje dėlionėje. Anot jo, nemažai klausimų lieka neatsakyti. Pateikiame visą interviu apie išpuolį Ukrainoje.

Kai kurie žiniasklaidos šaltiniai informaciją pateikia taip, tarsi būtų savaime suprantama, jog kenkėjiška programa pati viena buvo atsakinga už elektros tiekimo nutraukimą. Ar sutinkate su tuo?

Deja, niekas nėra taip aišku, kad būtų galima daryti tokias paprastas išvadas. Tiesa yra tai, jog keliose Ukrainos elektros tiekimo įmonėse rastas BlackEnergy trojanas kartu su SSH galinių durų (angl. backdoor) ir KillDisk komponentu yra galingas kenkėjiškų programų rinkinys. Teoriškai jie užpuolikams gali suteikti nuotolinę prieigą prie įmonės tinklo, išjungti svarbiausias sistemas ir ištrindami duomenis itin apsunkinti jų paleidimą vėl.

Dar vienas svarbus šio išpuolio aspektas yra tai, jog galime matyti, kokios galimai sudėtingos kibernetinės atakos bus ateityje. Energija yra Achilo kulnas bet kurioje organizacijoje – nuo gamintojų iki valstybinių įstaigų. Rimtas energijos nutraukimas yra kiekvieno priešo svajonė.

Galbūt mes galėjome paliudyti kažkieno svajonės realizavimą?

Na, mes, čia ESET, pirmiausia koncentruojmės ties internetiniu saugumu. Tam, kad įvykdytų energijos nutraukimą, užpuolikai turi perimti visą industrinę sistemą.

Iš vienos pusės, tai – du skirtingi pasauliai. Iš kitos – visiškai įprasta, jog industriniams įrenginiams kontroliuoti skirta programinė įranga veikia Windows ar Linux operacinę sistemą turinčiame kompiuteryje. Tokios sistemos gali būti puolamos naudojant panašius ar net tokius pat kenkėjus, su kuriais susiduria interneto vartotojai. Žinoma, gali būti panaudojamos visos įprastos puolimo priemonės, pavyzdžiui, socialinės inžinerijos metodai ar žmogiškosios klaidos.

Skamba taip, lyg sujungti industrines sistemas su internetu būtų pavojinga. Kodėl tuomet taip yra daroma?

Iš tiesų, toks tarpusavio sujungimas sukelia rimtą riziką. Pirmos priežastys, kurios man ateina į galvą, yra praktiškumas ir kaštų taupymas.

Nesigilinant į detales, toks sujungimas industrinę sistemą pastato prieš tokias pačias grėsmes, su kuriomis susiduria įprastas kompiuteris. Vis dėlto industrinė sistema turi daug mažiau galimybių apsiginti. Kaip pavyzdį paimkime pažeidžiamų vietų taisymą – tinkamai atliekamas toks procesas su industrine sistema yra daug problematiškesnis. Dažnai toks taisymas turi būti smarkiai pritaikomas ir jo reikia nuolat.

Grįžtant prie Ukrainos atvejo, energijos įmonių IT aplinkoje rastas BlackDoor yra galinių durų trojanas. Dar daugiau: mes atradome, jog jis buvo palaikomas kito komponento, galinių durų veikimo principu vekiančio SSH serverio. Tai ir yra atsakymas į dažnausiai užduodamą klausimą, kokie buvo BlackEnergy įtvirtinimo įmonėse motyvai.

Mes visi žinome, jog kažkam priskirti kibernetinius nusikaltimus yra labai sunku. Ką apie tai manote jūs?

Tai iš tiesų labai komplikuota.

2014 metų rugsėjį mes pranešėme žinią apie išpuoliuose prieš svarbius Ukrainos ir kitų šalių taikinius naudojamą BlackEnergy trojaną. Po kelių savaičių kitos saugumo įmonės šios atakos ir už jų besislepiančią grupę pradėjo vadinti „Sandworm“.

Nors BlackEnergy, tikėtina, gali kilti iš Rusijos ir yra siejamas su rusų kibernetinių nusikaltėlių grupe, iš tiesų tam nėra jokių tvirtų įrodymų. Ši kenkėjiškos programos šeima per savo gyvavimo laiką perėjo visą evoliuciją. Labai senos pirmosios versijos pagrindinis kodas netgi nutekėjo internete ir dabar yra naudojama daugybė naujų versijų. Mes netgi negalime užtikrintai pasakyti, ar BlackEnergy valdo viena grupė ar kelios jų.

Grįžkime prie išpuolio motyvų…

Galimybė turėti gyvybingą, funkcionuojantį trojaną IT platformose, sujungtose su energijos tiekimo įmonės industrinių įrenginių sistemomis… Nemanau, kad reikia plačiau paaiškinti, ką tai reiškia.

Galbūt keletas pavyzdžių padėtų skaitytojams geriau įsivaizduoti pasekmes

Praeityje yra buvę keletas labai rimtų išpuolių prieš industrines sistemas. Ne kiekvienu atveju yra įrodymų, nes aukos kartais nėra linkusios atskleisti detalių. Vis dėlto plačiai tikima, jog tikrai įrodyti buvo du atvejai: urano sodrinimo centrifugų sunaikinimas Irano branduoliniame įrenginyje ir sugadintos aukštakrosnės Vokietijos plieno gamykloje. Kenkėjiškos programos taip pat kaltinamos ir daugeliu kitų atvejų – pavyzdžiui, visų durų atidarymu aukščiausio saugumo lygio JAV kalėjime. Taip vienų grupuočių nariai galėjo pulti kitų narius.

Ką organizacijos gali padaryti, kad savo gamyklines technologijas apsaugotų nuo kibernetinių išpuolių?

Visų pirma, svarbios industrinės sistemos turėtų būti atskirtos nuo IT sistemų. Liūdna, tačiau realybė tokia, jog kartais prie interneto prijungtas industrines kontrolės sistemas galima rasti paprasčiausiai „pagooglinus“.

Taip pat svarbu sekti tokių institucijų, kaip US CERT ar SANS instituto gynybinių strategijų rekomendacijas.

Bet kuriam kompiuteriui, naudojamam industriniams įrenginiams, turi būti taikomos tos pačios įprastos saugumo taisyklės: nuolatinis operacinės sistemos ir programų atnaujinimas, vartotojų apmokymas, atsarginių kopijų kūrimas ir t.t.

Vis dėlto susidaro įspūdis, jog įmonės dažnai nuvertina kibernetinių išpuolių grėsmę savo industriniams įrenginiams.

Deja, jūs teisus. Vis dėlto įmonių tolerancija kibernetiniams išpuoliams pradėjo mažėti, kai Moody reitingavimo agentūra paskelbė įspėjimą, jog į reitingavimo sistemą bus įtraukta ir įmonės kibernetinių išpuolių rizika. Tikėkimės, jog ir šis nelemtas Ukrainos atvejis įmonėms visame pasaulyje primins apie kibernetinio saugumo stiprinimą.

 

Rašyti komentarą