Competiţie organizată de Kaspersky Lab dezvăluie uşurinţa hăckuirii rafinăriilor petroliere

(Getty Images)

În octombrie 2017, patru hackeri sud-coreeni în Shanghai au petrecut şapte ore pentru a încerca să se infiltreze în reţeaua IT a unei rafinării de ţiţei pentru a obţine acces la sistemele de control şi pentru a o închide.

Din fericire pentru industrie, atacul nu a fost real. A avut loc în cadrul unei competiţii de securitate cibernetică televizată în direct ce a fost organizată de Kaspersky Lab, binecunoscută firmă rusească specializată în securitatea Internetului. Competiţia a atras echipe din întreaga lume într-o cursă, pentru a crea o breşă într-un model al unei rafinării reale, care este de altfel unul dintre clienţii companiei, potrivit site-ului Zero Hedge.

Niciuna dintre cele trei echipe ajunse în finală nu a reuşit să închidă rafinăria; echipa sud-coreeană s-a apropiat cel mai mult şi a câştigat competiţia. Dar, după cum au menţionat, organizatorii, hackerii din lumea reală nu operează sub astfel de restricţii de timp.

“Competiţia a demonstrat încă o dată faptul că prin exploatarea vulnerabilităţilor existente în protejarea reţelei şi a erorilor din configurarea reţelei, un actor ostil aflat la distanţă poate obţine un acces neautorizat la segmentul industrial al reţelei”, a susţinut Vladimir Daşcenko, manager al grupului de cercetare a vulnerabilităţilor sistemelor de control industrial din cadrul Kaspersky.

Aceasta a fost cea de-a treia competiţie anuală pe tema securităţii cibernetice ce a fost organizată de Kaspersky. Competiţia din 2016 a cerut hackerilor să pătrundă în reţeaua unui model al unei centrale electrice.

Această competiţie evidenţiază vulnerabilităţile infrastructurii critice, inclusiv rafinării de ţiţei, în contextul amplificării mizelor războiului cibernetic. Pagubele umane şi cele provocate mediului de un dezastru produs pe cale cibernetică ar putea fi semnificative, fără a mai lua în calcul tulburările create pe pieţele de petrol şi gaz.

“Industria petrolului şi a gazului reprezintă una dintre industriile esenţiale prentru modul în care funcţionează societăţile şi economiile”, a afirmat Daşcenko.

Compania cu sediul în Moscova a afirmat la începutul acestui an că a descoperit un malware care infecta un sistem de control instalat la peste 1.000 de benzinării, lucru care ar fi permis hackerilor să închidă sistemele de alimentare, să schimbe preţurile la combustibili şi să provoace scurgeri, printre alte acte de sabotaj.

Dar Kaspersky a fost acuzată că ar ajuta guvernul rus să îşi spioneze clienţii, iar SUA a interzis utilizarea unuia dintre produsele sale în reţelele federale şi aparent ar lua în considerare sancţiuni împotriva companiei.

Compania neagă acuzaţiile şi susţine că este “prinsă în mijlocul unei lupte geopolitice” desfăşurate între Statele Unite şi Rusia.

Malware la pândă

Cele mai sofisticate atacuri cibernetice asupra rafinăriilor de ţiţei şi a altor infrastructuri critice au loc în mai multe puncte distincte.

Hackerii vor încerca prima dată să se infiltreze în sistemul de control distribuit (SCD) sau în sistemul de Monitorizare, Control şi Achiziţii de Date (SCADA) al unei rafinării, uzine etc. prin instalarea unui malware care colectează informaţii despre operaţiunile acesteia, privind caracteristicile de securitate şi alte informaţii sensibile.

De asemenea, deseori ei vor încerca să obţină acces la sistemul independent de control al siguranţei unei centrale, de regulă cu intenţia de a putea să anuleze închiderile automate.

Malware-ul instalat pentru a colecta aceste date poate sta la pândă în interiorul sistemelor timp de ani de zile fără a fi detectat.

Apoi, când au colectat suficiente informaţii privind vulnerabilităţile uzinei sau centralei şi a sosit momentul unui atac, hackerii vor dezlănţui codul sofisticat pe care l-au dezvoltat pentru a provoca probleme rafinăriei – sau mai rău, pentru a provoca o catastrofă, precum o explozie care a fost evitată în ultimul moment anul trecut la o centrală petrochimică saudită.

Investigatorii susţin că atacul a fost dejucat din cauza unei erori în malware-ul care a vizat sistemul de siguranţă al centralei petrochimice.

“Cea mai mare parte a activităţii observate a constat din operaţiuni de recunoaştere a penetrării sistemelor cu scopul de a încerca să înţeleagă sistemele SCADA, astfel încât atunci când este lansat un atac, acesta să fie eficient”, a afirmat Daniel Quiggin, membru al Chatham House, care studiază sistemele energetice.

Pentru a reduce riscul de a fi hackuite, multe structuri sunt separate sau izolate de reţelele publice. Dar separarea nu este lipsită de riscuri deoarece hackerii pot în continuare să folosească metode creative pentru a exploata breşele de securitate şi să acceseze reţelele interne securizate. De exemplu, hackerii ar putea fura informaţii personale de la un automat care foloseşte un semnal de Internet wireless pentru a transmite date şi ar putea utiliza acele informaţii pentru a pătrunde în reţelele de operare şi siguranţă securizate ale unei rafinării, sau ar putea să programeze LED-urile infraroşii şi senzorii unei camere de securitate pentru a transmite diverse informaţii.

“Este bine să avem o izolare, dar nu există nimic care să te poată securiza prin intermediul izolării”, a afirmat Beyza Unal, cercetător la Departamentul de Securitate Internaţională al Chatham House. “Ne aflăm într-o perioadă în care sistemele moştenite nu fac faţă necesităţilor actuale. Există atât de multe cazuri despre care ştim că separarea nu a fost suficientă”.

De îndată ce separarea reţelelor este compromisă, atunci centrala sau rafinăria este ca şi hackuită. Companiile sunt concentrate în mare parte pe protejarea perimetrului unei centrale în faţa hackingului, dar dispun de instrumente relativ puţine pentru a detecta sau preveni un atac după ce un hacker a reuşit să pătrundă în sistem, susţin experţi, conform Zero Hedge.

Competiţia

În competiţia organizată de Kaspersky, echipele au trebuit să îndeplinească câteva sarcini pentru a pătrunde în perimetrul reţelei modelului de rafinărie. După ce au realizat acest lucru, li s-a cerut să depisteze care sunt protocoalele de comunicare interne ale sistemului industrial şi apoi să comande închiderea rafinăriei.

Echipa sud-coreeană s-a aflat în stadiul final al piratării reţelei când a expirat timpul. Dacă ar fi îndeplinit şi acea sarcină, atunci ceea ce i-a mai rămas de îndeplinit ar fi fost mult mai uşor.

“Pe baza estimărilor noastre, se aflau la un interval de 15-20 de minute de îndeplinirea sarcinii”, a susţinut Daşcenko.

Evenimentul nu a dezvăluit breşe de securitate necunoscute anterior, cunoscute sub numele de vulnerabilităţi de tipul “ziua zero”, după cum s-a întâmplat în precedentele două competiţii ale Kaspersky. Dar aceste exerciţii reprezintă un pas crucial pentru testarea securităţii sistemelor de calculatoare, deoarece condiţiile sunt similare cu scenarii din viaţa reală.