Skip to content

Régi „szép” kibertámadások az ukrán villamosenergia-rendszer ellen (2. rész)

Table of Contents

Napra pontosan 7 éve kibertámadás érte az ukrán villamosenergia-rendszert. Hatására Ukrajna több megyéjében mintegy 250.000 fogyasztónál 3-6 óra időtartamban szakadt meg az áramszolgáltatás. Manapság Ukrajna bizonyára sokat megadna azért, ha „csak” Kijev egy részén és „csak” 250.000 fogyasztónál és „csak” 3-6 órára lenne áramszünet. Ennek ellenére nem tanulságok nélküli a 7 évvel ezelőtti támadás történéseinek felelevenítése.

2 éve, az Elektrotechnika szakfolyóiratban megjelent cikkben idéztem fel az 1995. december 23-ai támadás tanulságait, közte a támadás villamos vonatkozásait.

Bár Ukrajnának ma összehasonlíthatatlanul súlyosabb kihívásokkal kell szembesülnie, azonban súlyos tévedés lenne azt hinni, hogy csökkent volna az újabb – és akár még súlyosabb kihatású – támadások veszélye. Az idén áprilisi INDUSTROYER2 és PIPEDREAM támadásik kizárólag azért nem okoztak súlyos zavart a villamosenergia-ellátásban, mert Ukrajna a 2016. december 17-ei (illetve a 2015. december 23-ai) támadás nyomán jelentősen megerősítette a kibervédelmét.

Az alábbi szöveg a 2 évvel ezelőtti cikk szerkesztett változata.

2015. december 23-án délután Ukrajnában fordult elő az első olyan ismert eset, amikor bizonyítottan egy kibertámadás zavarta meg olyan súlyosan a villamosenergia-rendszer működését, hogy fogyasztók tömege vált ellátatlanná. Az esetet számos – hangsúllyal annak kiberbiztonsági vonatkozásait taglaló – elemzés követte. A jelen cikk az eset villamos vonatkozásait is taglalva rámutat a hasonló esetek olyan komplex – mind kiberbiztonsági, mind villamos oldali – vizsgálatának szükségességére, mint amit a két terület élvonalbeli hazai szakcégei közötti SeConSys együttműködés is célul tűzött ki. A 2015. december 23-ai támadás és az azóta történtek máig ható tanulságokkal szolgálnak.

A 2015. december 23-ai kibertámadás

2015. december 23-án délután kibertámadás ért hat ukrán szervezetet. A támadók három – közte kritikus infrastruktúrához tartozó – társasághoz bár behatoltak, de a támadás nem járt egyéb következményekkel. Ugyanakkor három regionális áramszolgáltató (Prykarpattya-, Kyiv- és Chernivtsioblenergo) rendszerei esetében a támadás jelentős fogyasztói ellátatlanságokat okozott. Az elérhető adatok szerint az üzemirányítók összességében legalább 57 db 110 és 35 kV-os alállomás esetében vesztették el a távfelügyelet lehetőségét. A 15:30-16:10 közötti időszakban a három üzemirányítóközpontból kezelői beavatkozás nélkül megszakító kikapcsolási parancsok kerültek kiadásra. Ezek nyomán mintegy 225.000 fogyasztó vált ellátatlanná.[1] [2]

Mivel a call-centerek is elérhetetlenné váltak, így a fogyasztók sem tudtak kapcsolatba lépni a szolgáltatókkal. A villamosenergia-szolgáltatás mintegy 3-6 órányi időtartamú és mintegy 130 MW-nyi teljesítményt érintő fogyasztói ellátatlanság után csak az alállomásokra kiküldött üzemeltető személyzet helyszíni, kézi kapcsolásaival volt visszaállítható. Az áramszolgáltatás helyi idő szerint 18:56-ra állt helyre.

Az ilyen jellegű támadások első lépéseként a támadó felderíti a célpontot, azaz a megtámadni szándékozott szervezet internetre kapcsolódó szervereit, rendszereinek működését, gyenge pontjait, továbbá a szervezet munkatársait. Ehhez a támadónak mindenekelőtt hozzáféréseket kellett szereznie, melyhez vélhetőleg nyílt forrású információszerzést (angol rövidítése: OSINT), majd a pszichológiai befolyásolás (social engineering) egyik elemét, az adathalászatot (phishing) alkalmazta.

2014. május 12-én az ukrán állami vasút hat társasága malware-t tartalmazó adathalász email-t kapott. A címlistán a Prykarpattyaoblenergo is szerepelt, így a küldeményt ők is megkapták. Nincs arra vonatkozó információ, hogy már másfél évvel a támadás előtt is a Prykarpattyaoblenergo elsődleges célpont volt-e, továbbá a levél fennakadt-e a címzett védelmén. Akár egyszerű véletlen is lehet, de tény, hogy az egyik később sikerrel támadott társaság, a Prykarpattyaoblenergo már 1,5 évvel (!) a támadás előtt adathalászat célpontja volt. [3]

A támadó 2015. márciusától az ukrán energetikai minisztérium hivatalos küldeményeinek tűnő elektronikus levelekkel igyekezett megtéveszteni a célpontként kiválasztott – az áramszolgáltatásban kulcsszerepet játszó – ukrán DSO-k (oblenergo-k) alkalmazottjait. Az oblenergo-nként eltérő üzemirányító rendszerek miatt a támadónak minden célpont sajátosságait és gyenge pontjait egyedileg, magát rejtve kellett felderítenie, majd meghatároznia. A támadó a „célszemélyeket” vélhetően OSINT módszerek alkalmazásával, az interneten elérhető nyílt adatok alapján választhatta ki. A csali email-hez MS Excel dokumentum volt csatolva, melybe ágyazott makrónak a címzett általi óvatlan engedélyezése után a címzett gépére települt a BlackEnergy3 malware. A támadó a makro engedélyezésére valódinak tűnő, MS Office figyelmeztetéssel („Attention! This document was created in a newer version of Microsoft Office. Macros are needed to display the contents of the document.”) vette rá a célpontokat. [4]

A BlackEnergy3 (és más eszközök) révén a megcélzott oblenergo-k hálózatának a felderítése hónapokon keresztül zajlott és a történések tükrében legalább három oblenergo-ban sikerrel is járt.

A támadó a Prykarpattyaoblenergo Microsoft Active Directory szervere ellen végrehajtott támadás révén megszerezte a szerveren tárolt felhasználói azonosító adatokat (pl. felhasználóneveket, jelszavakat), beleértve az üzemirányítórendszer (SCADA) operátori felületeihez (HMI) számára a továbbiakban hozzáférést biztosító felhasználó azonosító adatokat is. A támadó ismeretlen módszerrel ezeket az adatokat a másik két oblenergo esetében is megszerezte. A támadó a megszerzett felhasználói azonosító adatok révén összeségében mintegy 17 SCADA HMI-hez, rajtuk keresztül keresztül mintegy 50 (!) alállomás távkezeléséhez szerzett hozzáférést. Emellett a támadó a megszerzett adatok birtokában VPN csatlakozásokat hozott létre a megtámadott cégek hálózataihoz. A megszerzett adatok birtokában a támadó számára lehetővé vált a célpont hálózatába történő belépés, melyeken keresztül a támadó 2015. áprilisától további malware-t telepített a kompromittált gépekre, „hátsó ajtót” nyitva a további műveleteihez. [1]

A támadó december 23-án délután a SCADA HMI-k-hez a „hátsó ajtón” keresztül átvette a mintegy 50 alállomás távkezelését és megszakító működtetési parancsok kiadásával három megyében fogyasztók tömegének a villamosenergia-ellátását szakította meg. Az első oblenergo-hoz tartozó első megszakítókat 15:30-kor (CET), a második esetében 15:31-kor, míg a harmadiknál 16:00-kor kapcsolta ki. Az üzemirányítók a SCADA HMI-ken látták, ahogy a támadó sorban kikapcsolta a megszakítókat, de képtelenek voltak beavatkozni, mert a támadó teljes egészében átvette a jogosultságot a SCADA HMI-k felett, kizárva azokból az üzemirányítókat (mint ahogyan ezt az egyik üzemirányító videón meg is örökítette). A támadó gyors egymásutánban kapcsolta ki a megszakítókat. Ez arra utal, hogy az illetéktelen kapcsolásokat nem egyetlen személy végezte. Az egyik oblenergo kezelői 16:10-kor letiltották a SCADA HMI-hez a támadó hozzáférését. Ekkor a támadó más SCADA HMI-n keresztül folytatta a kapcsolásokat. Ezt látva, a kezelők magát a SCADA rendszert is lekapcsolták. Idővel a kezelők a másik két oblenergo-ban is kikapcsolták a SCADA-kat, megakadályozva a támadót, hogy a kompromittált SCADA HMI-ken keresztül további illetéktelen kapcsolásokat hajtson végre. [5]

A támadó a fogyasztók tömeges ellátatlanságát okozó fő csapás mellett egyéb műveletekkel is súlyosbította a helyzetet, nehezítve a kialakult helyzet áttekintését, majd kezelését. A támadó egyrészt automatikusan indított hívások tömegével (TDoS támadással) árasztotta el a Prykarpattyaoblenergo és a Kyivoblenergo call-centereit, ellehetetlenítve az ellátatlanná vált fogyasztók panaszbejelentéseit, növelve e fogyasztók elégedetlenségét. Másrészt a támadó az UPS-eket is támadta. A Kyivoblenergo-nál a számítógépeket ellátó UPS-ek időzített lekapcsolását idézte elő, távfelügyeletük hálózati interfészén keresztül behatolva. Legalább egy oblenergo esetében az UPS távfelügyeletre kialakított hálózati interfészen keresztül újrakonfigurálta azt, ami az áramszünet alatt tovább súlyosbította a helyzetet. A Prykarpattyaoblenergo-nál hasonló módon a belső telefonhálózat szerverét ellátó UPS-t állította le. Harmadrészt a támadó a KillDisk használatával tönkretette az Ethernet soros port átalakítóknak, valamint egy esetben az alállomási RTU HMI moduljának a firmware-ét. [6]

A támadó az RTU-k bénítása, károsítása nélkül is elérte célját, mivel a SCADA HMI-kre megszerzett jogosultság révén és a működő RTU-kon keresztül el tudta végezni a fogyasztói leágazások távkikapcsolását. A támadó RTU-t érintő művelete tekintetében csak a Windows-alapú, RTU-ba integrált HMI firmware-jének a felülírására – ezzel az ellátatlan fogyasztók helyszíni, kézi visszakapcsolásának az akadályozására – van utalás. Ugyanakkor a firmware-ek felülírásával a támadó az RTU rongálása nélkül is képes volt lassítani az energiaszolgáltatás helyreállítását.

A támadás utolsó mozzanataként a KillDisk nevű malware a támadás utánra, december 18-án 02:20-ra időzítve lépett működésbe és törölte a fontosabb konfigurációs és egyéb rendszerfájlokat, köztük a működéshez nélkülözhetetlen MBR (Master Boot Record) fájlokat.

Tanulságok

Miközben a támadást követően jellemzően a kiberbiztonsági tanulságok kerültek feltárásra, indokolt a villamos oldaliakra is figyelmet fordítani.

  1. Több aspektusból is kiemelendő a humán faktor szerepe. Emberi hiba, hogy nem volt megfelelő a DSO munkavállalók biztonságtudatossága, amely így a csali levelek révén lehetővé tette malware-ek bejuttatását a célpont rendszerekbe. Ez rámutat az átfogó és rendszeres biztonságtudatossági képzés és tréning elengedhetetlenségére.
  2. A big data korszakában a hálózati társaságoknak az alapoktól újra kell gondolniuk a villamos és informatikai hálózataikkal, működésükkel, munkavállalóikkal stb. kapcsolatosan az interneten, de akár nyomtatásban elérhető adatok körét. Még napjainkban, 5 évvel az ukrajnai kibertámadás után is a támadó a nyílt forrású adatokra irányuló felderítés (az OSINT) révén kényelmesen és törvényesen juthat egy potenciális támadást megalapozó műszaki (pl. topológia), szervezeti, személyi, beszállítói stb. adatokhoz, melyek célirányos elemzése segíti a támadót a támadási vektor meghatározásában. A villamosenergetikai OSINT külön cikk témája lesz. A 2015. évi ukrajnai támadás egyik fontos tanulsága, hogy elégtelen volt mind az üzemirányító személyzet hitelesítő adatainak (pl. felhasználónév, jelszó) védelme, mind az üzemirányító rendszer kezelői azonosításának erőssége (csak egyfaktorú volt).
  3. Az üzemirányítók a rendkívüli helyzethez képest elismerésre méltó gyorsasággal és szakértelemmel kezelték a helyzetet: mozgósították a területi szakszemélyzetet, akik aztán hagyományos vezényléssel, az alállomási helyszíneken manuálisan végeztek kapcsolásokat, így állítva helyre az energiaszolgáltatást. A gyors reagálás ellenére a fogyasztók 3-6 óráig ellátatlanok voltak. A 2015. évi ukrajnai támadás egyrészt alátámasztotta az uralkodóvá váló távkezelés mellett is a helyi kezelési lehetőség fenntartásának, de főleg a helyi kezelést bármikor gyakorlottan, megfelelő létszámban, kellő mobilitással, kapcsolási jogosultsággal és helyismerettel átvenni képes helyszíni kezelőszemélyzetnek a nélkülözhetetlenségét. Másrészt a támadás a gyakorlatban erősítette meg a vészhelyzeti eljárásrendek létének és azok rendszeres gyakoroltatásának a nélkülözhetetlenségét. [7]
  4. A támadásnak messze a konkrét eseten túlmutató tanulsága, hogy a távkezelés általános elterjedése közben a hálózatüzemeltetési, kezelési eljárásokat ismerő szakemberek kiöregednek, helyükbe egyre nagyobb számban ilyen ismeretekkel és gyakorlattal nem rendelkező munkatársak lépnek. Esetükben kiemelten fontos a manuális kezelés oktatása és rendszeres gyakoroltatása. [8]
  5. A fogyasztói leágazások kikapcsolásához képest mellékszálnak tűnik – holott lehetséges következményeit tekintve kulcsfontosságú volt – az UPS-ek támadása. Ez az UPS-ek távfelügyeleti interfészén keresztül történt. A 2015. évi ukrajnai támadás egyik tanulsága, hogy komolyan kell venni az ilyen távoli elérési felületek kiberbiztonsági kockázataira vonatkozó permanens szakértői figyelmeztetéseket. Ezek a csatlakozási lehetőségek különösen sérülékennyé tehetik a védendő rendszert, ha azok pl. folyamatosan, vagy akár csak a szükséges és elégséges időnél hosszabb ideig elérhetők, avagy rajtuk keresztül külsős, a védendő rendszer üzemeltetőjénél kevésbé szigorú kiberbiztonsági protokoll szerint működő társaság csatlakozhat. Bár az UPS-ek támadása fontos rendszerek működését zavarta meg, de a következmények még súlyosabbak is lehettek volna. A kritikus rendszerek kivétel nélkül UPS alátámasztásúak. Egy az ezekre irányuló masszív kibertámadás akár a megszakítókra vonatkozó kapcsolási jog megszerzése nélkül is – de e joggal együtt különösen! – képes az energiaszolgáltatás folyamatosságának súlyos megzavarására.
  6. A 2015. évi ukrajnai eset további tanulsága a robusztus, egyszerre több rendszert is érintő behatoláson is túl, hogy a támadás a távközlő rendszert is érintheti. A konkrét támadás két oblenergo-ban a call center működését blokkolta. Villamos szempontból sokkal súlyosabb, hogy legalább egy oblenergo-nál a belső telefonhálózat szerverét tápláló UPS-t ért támadás, megzavarva a belső távközlést. Ez azért különösen súlyos támadási mozzanat, mert SCADA üzemképtelensége után az üzemirányító az üzemhelyreállítás egy újabb eszközét, az alállomásokra kiküldött kezelőszemélyzettel való telefonos kapcsolattartás lehetőségét veszíthette el. A digitális rendszerek sérülékenysége tükrében indokolt olyan meghaladottnak vélt eszközök szerepének újraértékelése, mint az URH rádiótelefon, amely a digitális távközlés – tartós és kiterjedt áramszünet esetén beleértve akár a mobil távközlést is – esetleges üzemképtelenné tétele/válása esetén a villamosenergiaszolgáltatás helyreállításának távközlési „végső menedéke” lehet.

Összegzés

A 2015. évi ukrajnai volt az első olyan ismert eset, amikor bizonyítottan egy a villamosenergia-rendszert ért kibertámadás súlyosan megzavarta annak működését és fogyasztók tömegesen váltak ellátatlanná. Az akár 19 – de min. 9 – hónapos felderítés és előkészület után végrehajtott komplex és robusztus támadás során a támadó egyidőben három, eltérő rendszerekkel rendelkező (!) hálózati társaság egyszerre több rendszerének az üzemét zavarta meg sikerrel. A támadás sikerét mindenekelőtt az ügyviteli és az üzemviteli informatika közötti átjárhatóság, a felhasználói azonosító adatok nem kellően védett kezelése, a felhasználói azonosítás elégtelen biztonsága mellett a munkavállalók elégtelen biztonságtudatossága tette lehetővé.

A támadás nyomatékos figyelmeztetésként szolgál mind az ügyviteli, mind az ipari informatikai rendszerek tervezői, létesítői, üzemeltetői és felhasználói számára, hogy nem lehet büntetlenül figyelmen kívül hagyni a kritikus infrastruktúrák – köztük hangsúllyal a villamosenergiarendszer – kiberbiztonságát szolgáló elveket és gyakorlatot. Az ukrán áramszünet nem egyetlen sebezhetőség következménye. Kisebb-nagyobb hiányosságok összessége tette lehetővé a támadás sikerét, a villamosenergia-ellátás kiterjedt, több órás megszakítását.

A villamosenergia-rendszer zavartalan üzeméért felelős szakemberek számára különösen elgondolkodtató megállapítás lehet a következő megállapítás: „A hackerek jóval nagyobb kárt tudtak volna okozni, ha a támadás során az alállomási berendezéseket fizikailag is károsították volna, ezzel jóval nehezebbé téve az áramszünet utáni helyreállítást.” A 2007. évi híres Aurora generátor teszt, majd később a Stuxnet támadás óta nem kérdés, hogy kibertámadással fizikai rombolást is lehet okozni. Ennek tükrében elgondolkodtató azzal szembesülni, hogy az ukrajnai kibertámadás súlyossága nem elsősorban a támadó lehetőségeinek, hanem szándékainak volt a függvénye. [9] [10] [11]

A történtek elemzése azt is mutatta, hogy a támadó által használt eszközök nem voltak specifikusak az ukrán rendszerre. Az Ukrajnában alkalmazott támadási elv és gyakorlat bár eltérő súlyú következményekkel, de bármely más ország rendszerei esetében is hatásos lehet. [2]

Villamosenergetikai szempontból a támadás egyik legnagyobb tanulsága, hogy a villamosenergia-rendszert érő kibertámadás nem csak kiberbiztonsági ügy, hanem kiberbiztonsági és villamosenergetikai ügy! Egy-egy ilyen eset után a kiberbiztonsági mellett a villamosenergetikai szakmának is minden részletre kiterjedően meg kell csinálnia a maga „házi feladatát”, hogy nagyobb eséllyel legyen megelőzhető a következő kibertámadás miatti kiterjedt és elhúzódó áramszünet. Nem az a kérdés ugyanis, hogy lesz-e következő kibertámadás. Az a kérdés, hogy mikor, hol és milyen terjedelmű lesz…

A kritikus infrastruktúrákat – azon belül hangsúllyal a villamosenergiarendszert – 2015. óta egyre inkább érő kibertámadások nyomán a villamosenergetikai védelem és irányítástechnika, valamint a kiberbiztonság élvonalbeli magyar cégei 2018. decemberében SeConSys (Security for Control Systems) néven együttműködésre léptek. Ehhez utóbb számos villamosenergia-ipari cég, valamint illetékes állami szervezet csatlakozott. Az együttműködésben résztvevők célja a magyar villamosenergia-rendszer kiberbiztonságának erősítése, egy a 2015. decemberihez hasonló következményekkel járó kibertámadás megelőzése.

A 2015. és 2016. évi támadások összevetése

Míg a támadó a 2015. évi – egy villamosenergiarendszert ért első, kiterjedt fogyasztói ellátatlanságot okozó – kibertámadás során mintegy ötven elosztóhálózati alállomáson, addig a 2016. évi támadás során csak egyetlen, de átviteli hálózati alállomáson végzett kapcsolásokat.

Míg a 2015. évi támadás egyes lépéseit (pl. a megszakítók egyenkénti kikapcsolását) a támadó jórészt manuálisan hajtotta végre, addig a 2016. évi támadás jórészt előre programozottan, automatikusan zajlott. Egy automatizált támadás lényegesen gyorsabb lehet egy manuálisan végrehajtottnál. Tehát a 2016. évi a támadó által elkövetett hibák ellenére is határozottan fejlettebb – éppen ezért veszélyesebb! – volt a 2015. évinél.

Az elemzésekben fel-feltűnik, hogy mind 2015-ban, mind 2016-ban az alállomási RTU volt az ún. „támadási vektor”, azaz a támadás ezekre irányult. A fellelhető információk alapján e megállapítás árnyalása lehet szükséges. Mindenekelőtt az RTU terjedelme tisztázandó. Amennyiben az alállomási ember-gép kapcsolatot biztosító modult is az RTU részének tekintjük, akkor igaz, hogy a 2015-ös támadás az RTU-t is érte, hiszen e modul firmware-jét a támadó felülírta, működésképtelenné téve azt. Ugyanakkor az RTU alapvető funkcióit nem érte támadás és éppen ezek „rendeltetésszerű használata” révén tudta a támadó a korábban megszerzett üzemirányítói jogosultságok birtokában a megszakítókat kikapcsolni. Viszont 2016-ban a CrashOverride megzavarta az RTU-k működését és ez okozta a megszakítók kikapcsolódását egyben akadályozva visszakapcsolásukat is. Indokolt különbséget tenni az RTU támadó általi „rendeltetésszerű használata”, ill. működésképtelenné tétele között. Ugyanakkor a támadó tényleges célja mindkét támadás esetén a megszakítók kikapcsolása, ezzel az áramszolgáltatás megszakítása volt.

Források

[1] https://www.eiseverywhere.com/file_uploads/aed4bc20e84d2839b83c18bcba7e2876_Owens1.pdf

[2] E-ISAC_SANS_Ukraine_DUC_5.pdf (kasperskycontenthub.com)

[3] https://cys-centrum.com/ru/news/black_energy_2_3

[4] https://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/

[5] https://www.youtube.com/watch?v=8ThgK1WXUgk

[6] When the Lights Went Out. Comprehensive Review of the 2015 Attacks on Ukrainian Critical Infrastructure. Jake Styczynski, Nate Beach-Westmoreland, 2019 Booz Allen Hamilton Inc.

[7] https://www.sans.org/blog/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid/

[8] https://icscybersec.blog.hu/2016/05/21/manualis_vezerles_mint_alternativ_megoldas_ics_rendszerek_elleni_tamadasok_eseten

[9] https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/

[10] https://cdn.selinc.com/assets/Literature/Publications/Technical%20Papers/6452_MythReality_MZ_20110217_Web3.pdf?v=20191007-203642

[11] http://fizikaiszemle.hu/archivum/fsz1105/cserhati1105.html

Latest

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

Palo Alto Networks released security updates for two actively exploited zero-day vulnerabilities in Palo Alto Networks PAN-OS. If exploited, these vulnerabilities could allow a remote unauthenticated attacker to gain administrator privileges, or a PAN-OS administrator to perform actions on the firewall with root privileges. It recommended applying the updates and

Members Public