Blackout w zachodniej Ukrainie – cyber atak o wymiarze międzynarodowym

Blackout w zachodniej Ukrainie – cyber atak o wymiarze międzynarodowym

23 grudnia 2015 r. prawdopodobnie w wyniku cyber ataku prawie połowa obiektów mieszkalnych w obwodzie iwano-frankiwskim została odcięta od dostaw energii elektrycznej. Przerwa w dostawie prądu trwała od czterech do sześciu godzin. Wkrótce po ujawnieniu informacji przez ukraińską agencję prasową TNS, jako źródło wrogiego ataku, władze w Kijowie wskazały Federację Rosyjską. 3 stycznia 2016 r. słowacka firma ESET specjalizująca się w bezpieczeństwie teleinformatycznym wykryła, iż obwód iwano-frankiwski nie był jedynym celem hackerów. Skala ataku i jego konsekwencje okazały się na tyle poważne, że 6 stycznia 2016 r. Amerykanie wszczęli własne śledztwo w tej sprawie. Zważywszy na fakt, iż „BlackEnergy” atakował również polskie przedsiębiorstwa, służby RP powinny wszcząć dodatkowe dochodzenie oraz powziąć dodatkowe środki ostrożności połączone z kampanią informacyjną.

Grudniowy cyber atak na sektor energetyczny w zachodniej Ukrainie jest dotychczas jedną z najbardziej dotkliwych operacji ukierunkowanych na infrastrukturę krytyczną. Według doniesień prasowych, poszkodowanych zostało ok. 700 tys. klientów obsługiwanych przez firmę Prykarpattya Oblenergo (ukr. Прикарпаттяобленерго), głównego operatora energetycznego w regionie. Jeśli udostępnione publicznie wyniki śledztwa będą zawierać konkretne dowody wskazujące atak sieciowy jako przyczynę wystąpienia „blackoutu” będzie to pierwsza w historii operacja hackerska, która doprowadziła do masowego przerwania dostaw elektryczności. Jak dotąd, znane przypadki skutecznych cyber ataków na infrastrukturę energetyczną (np. Korea Południowa w 2011 r.) nie miały poparcia w dowodach, a stanowiły jedynie deklarację państw lub opinie pojedynczych ekspertów. Sektor energii, w związku ze swoją strategiczną funkcją, jest jednym z najczęstszych celów hackerów. Szczególnie niebezpiecznym scenariuszem włamania jest nieuprawniony dostęp do systemów sterowania przemysłowego (np. Supervisory Control And Data Acquisition, SCADA), które odpowiadają m.in. za ciągłość i prawidłowy proces działania urządzeń wykonawczych i pomiarowych. Zdobycie kontroli nad systemem w teorii może doprowadzić do awarii, uszkodzeń lub zniszczenia danej infrastruktury.

Obwód iwano-frankiwski zamieszkuje ok. 1,4 miliona ludzi z największym skupiskiem ludności w Iwano-Frankiwsku (centrum administracyjne), Kałuszu i Kołomyi. Nie jest obszarem konfliktu rosyjsko-ukraińskiego, ale stanowi ważny ośrodek przemysłu wydobywczego, chemicznego i obróbki drewna. Dotknięty awarią Prykarpattya Oblenergo dostarcza energię elektryczną wyłącznie w obwodzie iwano-frankiwskim. Przedsiębiorstwo należy do Igora Surkiza, ukraińskiego businessmana, posiadającego 88 proc. akcji spółki. Surkiz posiada również większość udziałów we lwowskim Lwiw Oblenergo (Львівобленерго). Są to nieliczne na Ukrainie przedsiębiorstwa energetyczne należące w całości do ukraińskiego kapitału.

Władze w Kijowie odpowiedzialnością za domniemany cyber atak obarczyły Kreml, bądź grupę hackerską działającą na jego zlecenie. Dotychczas nie zostały przedstawione dowody na taki scenariusz. Najnowszy raport firmy ESET łączy grudniową aktywność przestępców z kampanią cyber szpiegowską ukierunkowaną na wysokich przedstawicieli administracji Ukrainy (m.in. premiera Arsenija Jaceniuka) w sierpniu 2014 r. W obydwu atakach przestępcy mieli użyć trojana „BlackEnergy”. Ukraińskie systemy komputerowe zostały zarażone wirusem prawdopodobnie poprzez pobranie załącznika fałszywej wiadomości w postaci pliku Microsoft Office. Po aktywacji „BlackEnergy” pobierał kolejne złośliwe oprogramowanie „KillDisk”. Zdaniem ekspertów „KillDisk” jest w stanie nie tylko usuwać pliki i dokonywać zmian w systemie komputerowym, ale również zatrzymywać procesy systemów sterowania przemysłowego. Niezależne opinie wskazują, że za wirusem „BlackEnergy” stoi grupa hackerska SandWorm, którą podejrzewa się o finansowanie przez Moskwę.

Nie tylko Ukraina

Na początku stycznia 2016 r. problem zyskał wymiar międzynarodowy. Okazało się bowiem, iż ten sam rodzaj zagrożenia był wykorzystany podczas ataków sieciowych na amerykański sektor energetyczny w 2014 r. Departament Bezpieczeństwa Krajowego (Depatment of Homeland Security, DHS), Centralna Agencja Wywiadowcza (Central Intelligence Agency, CIA) oraz Agencja Bezpieczeństwa Narodowego (National Security Agency, NSA) zainicjowały specjalne śledztwo w tej sprawie. Kwestiami najważniejszymi dla służb jest próba odpowiedzi na pytanie w jaki sposób hackerzy uzyskali dostęp do systemów oraz problem atrybucji źródła cyber ataku.

Istotny dla ostatnich wydarzeń jest również element Polski. We wrześniu 2014 r. wirus „BlackEnergy” atakował także polskie przedsiębiorstwa. Zagrożenie udokumentowano w dorocznych raportach CERTów (Computer Emergency Response Team) Naukowej i Akademickiej Sieci Komputerowej oraz Agencji Bezpieczeństwa Wewnętrznego. Grudniowy cyber atak powinien stanowić przyczynek do wzmocnienia możliwości odparcia podobnych zagrożeń z rodzaju APT (Advanced Persistent Threat), co zresztą zostało podkreślone w raporcie CERT.GOV.PL

Wnioski

Jeśli przypuszczenia o cyber ataku na ukraiński sektor energetyczny okażą się prawdziwe, będzie to przełomowy moment dla bezpieczeństwa infrastruktury krytycznej. Sprawę komplikuje fakt, że kampania „BlackEnergy” (oraz podobne) ma ponadnarodowy zasięg i może doprowadzić do paraliżu wielu systemów komputerowych i podobnych skutków jak na Ukrainie. Pod znakiem zapytania stoi źródło cyber ataku. Z uwagi na trudność określenia atrybucji w cyberprzestrzeni, można przyjąć, iż prawdopodobnie nie pojawią się dowody, jakoby atak sieciowy był przeprowadzony na zlecenie Kremla. Wielu ekspertów uważa jednak taki scenariusz za trafny. W obliczu takiej ewentualność należałoby odczytywać ten atak jako element kontynuacji wojny o charakterze hybrydowym. Zważywszy na fakt, iż „BlackEnergy” atakował również polskie przedsiębiorstwa, służby RP powinny wszcząć dodatkowe dochodzenie oraz powziąć dodatkowe środki ostrożności połączone z kampanią informacyjną.

Autor: Kamil Gapiński, Koordynator Programu „Cyberbezpieczeństwo” Fundacji im. Kazimierza Pułaskiego

Zdjęcie: en.wikipedia.com