Jedná se o první zaznamenaný útok tohoto typu na vodárenskou síť.
Podle společnosti Radiflow, provádějící bezpečnostní audit, byly servery systému dispečinku infiltrovány škodlivým softwarem cca tři týdny, než byl objeven. Napadení bylo detekováno při průběžném sledování komunikace v rámci sítě klienta, tedy vodárenské společnosti. V průběhu sledování byly zaznamenány neobvyklé pokusy o komunikaci a výrazné změny v topologii (z původně stromové podoby systému SCADA) komunikace na známé IP adresy těžařských poolů.
Podle provedené analýzy byl škodlivý software stažen z internetové stránky pracovníkem dispečinku, který pravděpodobně během směny otevřel webový prohlížeč a kliknutím na odkaz na obsah jisté webové stránky mallware do systému tak nevědomky nainstaloval.
Napadení systému napomohl také fakt, že uvedený systém SCADA běžel na operačním systému Microsoft Windows XP, pro který již nejsou poskytovány bezpečnostní záplaty a jak poznamenal ředitel společnosti Radiflow Ilan Barda, jedná se v oblasti SCADA naprosto běžnou praxi. Převážná většina systémů řízení a kontroly průmyslových celků běží stále právě na tomto operačním systému a modernizace zabezpečení sítí probíhá jen velmi pomalu. Mallware je navržen tak, aby v napadeném počítači zakázala bezpečnostní nástroje a její běh tak probíhal v utajeném režimu po dlouhou dobu. K velkému štěstí pro vodárenskou společnost nedošlo k omezení funkcionality systému. V případě útoku ransomware, např. WannaCry, by ovšem došlo k vyřazení celého systému.
Zřejmě šlo v tomto případě o necílený útok typu phishing, za pomocí webové stránky obsahující "návnady", který byl zjevně součástí širšího vyhledávání potencionálních online zdrojů pro nelegálního těžaře kryptoměny.
Útoky pomocí mallware za účelem těžby kryptoměny budou pro kritickou infrastrukturu představovat závažný problém
Vzhledem k atraktivitě těžby kryptoměny a stále rostoucím nárokům na její provozování, budou útoky tohoto typu v blízké budoucnosti stále častějším jevem.
Skrytá těžba kryptoměny představuje extrémní výpočetní zátěž pro procesory, zatěžují síť napadeného systému velkým přenosem dat a výrazně snižují kapacitu pro provoz systému SCADA, což by pro provozovatele kritické infrastruktury mohlo mít i dalekosáhlé následky.
Těžba kryptoměny je v současnosti fenomén, který je velmi náročný na výpočetní výkon a spotřebu elektrické energie. Proto budou pro hackery lákavým cílem zejména průmyslové podniky a provozovatelé kritické infrastruktury, které provozují velký počet nepřetržitě běžících serverů a počítačů s nízkou mírou zabezpečení.
Odolnost řídících systémů SCADA vůči kybernetickým útokům bude pro kritickou infrastrukturu vzledem k trendům internetu věcí a smart cities narosto klíčová.
Komentáře