Table of Contents
Napra pontosan 7 éve kibertámadás érte az ukrán villamosenergia-rendszert. Hatására Ukrajna több megyéjében mintegy 250.000 fogyasztónál 3-6 óra időtartamban szakadt meg az áramszolgáltatás. Manapság Ukrajna bizonyára sokat megadna azért, ha „csak” Kijev egy részén és „csak” 250.000 fogyasztónál és „csak” 3-6 órára lenne áramszünet. Ennek ellenére nem tanulságok nélküli a 7 évvel ezelőtti támadás történéseinek felelevenítése.
2 éve, az Elektrotechnika szakfolyóiratban megjelent cikkben idéztem fel az 1995. december 23-ai támadás tanulságait, közte a támadás villamos vonatkozásait.
Bár Ukrajnának ma összehasonlíthatatlanul súlyosabb kihívásokkal kell szembesülnie, azonban súlyos tévedés lenne azt hinni, hogy csökkent volna az újabb – és akár még súlyosabb kihatású – támadások veszélye. Az idén áprilisi INDUSTROYER2 és PIPEDREAM támadásik kizárólag azért nem okoztak súlyos zavart a villamosenergia-ellátásban, mert Ukrajna a 2016. december 17-ei (illetve a 2015. december 23-ai) támadás nyomán jelentősen megerősítette a kibervédelmét.
Az alábbi szöveg a 2 évvel ezelőtti cikk szerkesztett változata.
2015. december 23-án délután Ukrajnában fordult elő az első olyan ismert eset, amikor bizonyítottan egy kibertámadás zavarta meg olyan súlyosan a villamosenergia-rendszer működését, hogy fogyasztók tömege vált ellátatlanná. Az esetet számos – hangsúllyal annak kiberbiztonsági vonatkozásait taglaló – elemzés követte. A jelen cikk az eset villamos vonatkozásait is taglalva rámutat a hasonló esetek olyan komplex – mind kiberbiztonsági, mind villamos oldali – vizsgálatának szükségességére, mint amit a két terület élvonalbeli hazai szakcégei közötti SeConSys együttműködés is célul tűzött ki. A 2015. december 23-ai támadás és az azóta történtek máig ható tanulságokkal szolgálnak.
A 2015. december 23-ai kibertámadás
2015. december 23-án délután kibertámadás ért hat ukrán szervezetet. A támadók három – közte kritikus infrastruktúrához tartozó – társasághoz bár behatoltak, de a támadás nem járt egyéb következményekkel. Ugyanakkor három regionális áramszolgáltató (Prykarpattya-, Kyiv- és Chernivtsioblenergo) rendszerei esetében a támadás jelentős fogyasztói ellátatlanságokat okozott. Az elérhető adatok szerint az üzemirányítók összességében legalább 57 db 110 és 35 kV-os alállomás esetében vesztették el a távfelügyelet lehetőségét. A 15:30-16:10 közötti időszakban a három üzemirányítóközpontból kezelői beavatkozás nélkül megszakító kikapcsolási parancsok kerültek kiadásra. Ezek nyomán mintegy 225.000 fogyasztó vált ellátatlanná.[1] [2]
Mivel a call-centerek is elérhetetlenné váltak, így a fogyasztók sem tudtak kapcsolatba lépni a szolgáltatókkal. A villamosenergia-szolgáltatás mintegy 3-6 órányi időtartamú és mintegy 130 MW-nyi teljesítményt érintő fogyasztói ellátatlanság után csak az alállomásokra kiküldött üzemeltető személyzet helyszíni, kézi kapcsolásaival volt visszaállítható. Az áramszolgáltatás helyi idő szerint 18:56-ra állt helyre.
Az ilyen jellegű támadások első lépéseként a támadó felderíti a célpontot, azaz a megtámadni szándékozott szervezet internetre kapcsolódó szervereit, rendszereinek működését, gyenge pontjait, továbbá a szervezet munkatársait. Ehhez a támadónak mindenekelőtt hozzáféréseket kellett szereznie, melyhez vélhetőleg nyílt forrású információszerzést (angol rövidítése: OSINT), majd a pszichológiai befolyásolás (social engineering) egyik elemét, az adathalászatot (phishing) alkalmazta.
2014. május 12-én az ukrán állami vasút hat társasága malware-t tartalmazó adathalász email-t kapott. A címlistán a Prykarpattyaoblenergo is szerepelt, így a küldeményt ők is megkapták. Nincs arra vonatkozó információ, hogy már másfél évvel a támadás előtt is a Prykarpattyaoblenergo elsődleges célpont volt-e, továbbá a levél fennakadt-e a címzett védelmén. Akár egyszerű véletlen is lehet, de tény, hogy az egyik később sikerrel támadott társaság, a Prykarpattyaoblenergo már 1,5 évvel (!) a támadás előtt adathalászat célpontja volt. [3]
A támadó 2015. márciusától az ukrán energetikai minisztérium hivatalos küldeményeinek tűnő elektronikus levelekkel igyekezett megtéveszteni a célpontként kiválasztott – az áramszolgáltatásban kulcsszerepet játszó – ukrán DSO-k (oblenergo-k) alkalmazottjait. Az oblenergo-nként eltérő üzemirányító rendszerek miatt a támadónak minden célpont sajátosságait és gyenge pontjait egyedileg, magát rejtve kellett felderítenie, majd meghatároznia. A támadó a „célszemélyeket” vélhetően OSINT módszerek alkalmazásával, az interneten elérhető nyílt adatok alapján választhatta ki. A csali email-hez MS Excel dokumentum volt csatolva, melybe ágyazott makrónak a címzett általi óvatlan engedélyezése után a címzett gépére települt a BlackEnergy3 malware. A támadó a makro engedélyezésére valódinak tűnő, MS Office figyelmeztetéssel („Attention! This document was created in a newer version of Microsoft Office. Macros are needed to display the contents of the document.”) vette rá a célpontokat. [4]
A BlackEnergy3 (és más eszközök) révén a megcélzott oblenergo-k hálózatának a felderítése hónapokon keresztül zajlott és a történések tükrében legalább három oblenergo-ban sikerrel is járt.
A támadó a Prykarpattyaoblenergo Microsoft Active Directory szervere ellen végrehajtott támadás révén megszerezte a szerveren tárolt felhasználói azonosító adatokat (pl. felhasználóneveket, jelszavakat), beleértve az üzemirányítórendszer (SCADA) operátori felületeihez (HMI) számára a továbbiakban hozzáférést biztosító felhasználó azonosító adatokat is. A támadó ismeretlen módszerrel ezeket az adatokat a másik két oblenergo esetében is megszerezte. A támadó a megszerzett felhasználói azonosító adatok révén összeségében mintegy 17 SCADA HMI-hez, rajtuk keresztül keresztül mintegy 50 (!) alállomás távkezeléséhez szerzett hozzáférést. Emellett a támadó a megszerzett adatok birtokában VPN csatlakozásokat hozott létre a megtámadott cégek hálózataihoz. A megszerzett adatok birtokában a támadó számára lehetővé vált a célpont hálózatába történő belépés, melyeken keresztül a támadó 2015. áprilisától további malware-t telepített a kompromittált gépekre, „hátsó ajtót” nyitva a további műveleteihez. [1]
A támadó december 23-án délután a SCADA HMI-k-hez a „hátsó ajtón” keresztül átvette a mintegy 50 alállomás távkezelését és megszakító működtetési parancsok kiadásával három megyében fogyasztók tömegének a villamosenergia-ellátását szakította meg. Az első oblenergo-hoz tartozó első megszakítókat 15:30-kor (CET), a második esetében 15:31-kor, míg a harmadiknál 16:00-kor kapcsolta ki. Az üzemirányítók a SCADA HMI-ken látták, ahogy a támadó sorban kikapcsolta a megszakítókat, de képtelenek voltak beavatkozni, mert a támadó teljes egészében átvette a jogosultságot a SCADA HMI-k felett, kizárva azokból az üzemirányítókat (mint ahogyan ezt az egyik üzemirányító videón meg is örökítette). A támadó gyors egymásutánban kapcsolta ki a megszakítókat. Ez arra utal, hogy az illetéktelen kapcsolásokat nem egyetlen személy végezte. Az egyik oblenergo kezelői 16:10-kor letiltották a SCADA HMI-hez a támadó hozzáférését. Ekkor a támadó más SCADA HMI-n keresztül folytatta a kapcsolásokat. Ezt látva, a kezelők magát a SCADA rendszert is lekapcsolták. Idővel a kezelők a másik két oblenergo-ban is kikapcsolták a SCADA-kat, megakadályozva a támadót, hogy a kompromittált SCADA HMI-ken keresztül további illetéktelen kapcsolásokat hajtson végre. [5]
A támadó a fogyasztók tömeges ellátatlanságát okozó fő csapás mellett egyéb műveletekkel is súlyosbította a helyzetet, nehezítve a kialakult helyzet áttekintését, majd kezelését. A támadó egyrészt automatikusan indított hívások tömegével (TDoS támadással) árasztotta el a Prykarpattyaoblenergo és a Kyivoblenergo call-centereit, ellehetetlenítve az ellátatlanná vált fogyasztók panaszbejelentéseit, növelve e fogyasztók elégedetlenségét. Másrészt a támadó az UPS-eket is támadta. A Kyivoblenergo-nál a számítógépeket ellátó UPS-ek időzített lekapcsolását idézte elő, távfelügyeletük hálózati interfészén keresztül behatolva. Legalább egy oblenergo esetében az UPS távfelügyeletre kialakított hálózati interfészen keresztül újrakonfigurálta azt, ami az áramszünet alatt tovább súlyosbította a helyzetet. A Prykarpattyaoblenergo-nál hasonló módon a belső telefonhálózat szerverét ellátó UPS-t állította le. Harmadrészt a támadó a KillDisk használatával tönkretette az Ethernet soros port átalakítóknak, valamint egy esetben az alállomási RTU HMI moduljának a firmware-ét. [6]
A támadó az RTU-k bénítása, károsítása nélkül is elérte célját, mivel a SCADA HMI-kre megszerzett jogosultság révén és a működő RTU-kon keresztül el tudta végezni a fogyasztói leágazások távkikapcsolását. A támadó RTU-t érintő művelete tekintetében csak a Windows-alapú, RTU-ba integrált HMI firmware-jének a felülírására – ezzel az ellátatlan fogyasztók helyszíni, kézi visszakapcsolásának az akadályozására – van utalás. Ugyanakkor a firmware-ek felülírásával a támadó az RTU rongálása nélkül is képes volt lassítani az energiaszolgáltatás helyreállítását.
A támadás utolsó mozzanataként a KillDisk nevű malware a támadás utánra, december 18-án 02:20-ra időzítve lépett működésbe és törölte a fontosabb konfigurációs és egyéb rendszerfájlokat, köztük a működéshez nélkülözhetetlen MBR (Master Boot Record) fájlokat.
Tanulságok
Miközben a támadást követően jellemzően a kiberbiztonsági tanulságok kerültek feltárásra, indokolt a villamos oldaliakra is figyelmet fordítani.
- Több aspektusból is kiemelendő a humán faktor szerepe. Emberi hiba, hogy nem volt megfelelő a DSO munkavállalók biztonságtudatossága, amely így a csali levelek révén lehetővé tette malware-ek bejuttatását a célpont rendszerekbe. Ez rámutat az átfogó és rendszeres biztonságtudatossági képzés és tréning elengedhetetlenségére.
- A big data korszakában a hálózati társaságoknak az alapoktól újra kell gondolniuk a villamos és informatikai hálózataikkal, működésükkel, munkavállalóikkal stb. kapcsolatosan az interneten, de akár nyomtatásban elérhető adatok körét. Még napjainkban, 5 évvel az ukrajnai kibertámadás után is a támadó a nyílt forrású adatokra irányuló felderítés (az OSINT) révén kényelmesen és törvényesen juthat egy potenciális támadást megalapozó műszaki (pl. topológia), szervezeti, személyi, beszállítói stb. adatokhoz, melyek célirányos elemzése segíti a támadót a támadási vektor meghatározásában. A villamosenergetikai OSINT külön cikk témája lesz. A 2015. évi ukrajnai támadás egyik fontos tanulsága, hogy elégtelen volt mind az üzemirányító személyzet hitelesítő adatainak (pl. felhasználónév, jelszó) védelme, mind az üzemirányító rendszer kezelői azonosításának erőssége (csak egyfaktorú volt).
- Az üzemirányítók a rendkívüli helyzethez képest elismerésre méltó gyorsasággal és szakértelemmel kezelték a helyzetet: mozgósították a területi szakszemélyzetet, akik aztán hagyományos vezényléssel, az alállomási helyszíneken manuálisan végeztek kapcsolásokat, így állítva helyre az energiaszolgáltatást. A gyors reagálás ellenére a fogyasztók 3-6 óráig ellátatlanok voltak. A 2015. évi ukrajnai támadás egyrészt alátámasztotta az uralkodóvá váló távkezelés mellett is a helyi kezelési lehetőség fenntartásának, de főleg a helyi kezelést bármikor gyakorlottan, megfelelő létszámban, kellő mobilitással, kapcsolási jogosultsággal és helyismerettel átvenni képes helyszíni kezelőszemélyzetnek a nélkülözhetetlenségét. Másrészt a támadás a gyakorlatban erősítette meg a vészhelyzeti eljárásrendek létének és azok rendszeres gyakoroltatásának a nélkülözhetetlenségét. [7]
- A támadásnak messze a konkrét eseten túlmutató tanulsága, hogy a távkezelés általános elterjedése közben a hálózatüzemeltetési, kezelési eljárásokat ismerő szakemberek kiöregednek, helyükbe egyre nagyobb számban ilyen ismeretekkel és gyakorlattal nem rendelkező munkatársak lépnek. Esetükben kiemelten fontos a manuális kezelés oktatása és rendszeres gyakoroltatása. [8]
- A fogyasztói leágazások kikapcsolásához képest mellékszálnak tűnik – holott lehetséges következményeit tekintve kulcsfontosságú volt – az UPS-ek támadása. Ez az UPS-ek távfelügyeleti interfészén keresztül történt. A 2015. évi ukrajnai támadás egyik tanulsága, hogy komolyan kell venni az ilyen távoli elérési felületek kiberbiztonsági kockázataira vonatkozó permanens szakértői figyelmeztetéseket. Ezek a csatlakozási lehetőségek különösen sérülékennyé tehetik a védendő rendszert, ha azok pl. folyamatosan, vagy akár csak a szükséges és elégséges időnél hosszabb ideig elérhetők, avagy rajtuk keresztül külsős, a védendő rendszer üzemeltetőjénél kevésbé szigorú kiberbiztonsági protokoll szerint működő társaság csatlakozhat. Bár az UPS-ek támadása fontos rendszerek működését zavarta meg, de a következmények még súlyosabbak is lehettek volna. A kritikus rendszerek kivétel nélkül UPS alátámasztásúak. Egy az ezekre irányuló masszív kibertámadás akár a megszakítókra vonatkozó kapcsolási jog megszerzése nélkül is – de e joggal együtt különösen! – képes az energiaszolgáltatás folyamatosságának súlyos megzavarására.
- A 2015. évi ukrajnai eset további tanulsága a robusztus, egyszerre több rendszert is érintő behatoláson is túl, hogy a támadás a távközlő rendszert is érintheti. A konkrét támadás két oblenergo-ban a call center működését blokkolta. Villamos szempontból sokkal súlyosabb, hogy legalább egy oblenergo-nál a belső telefonhálózat szerverét tápláló UPS-t ért támadás, megzavarva a belső távközlést. Ez azért különösen súlyos támadási mozzanat, mert SCADA üzemképtelensége után az üzemirányító az üzemhelyreállítás egy újabb eszközét, az alállomásokra kiküldött kezelőszemélyzettel való telefonos kapcsolattartás lehetőségét veszíthette el. A digitális rendszerek sérülékenysége tükrében indokolt olyan meghaladottnak vélt eszközök szerepének újraértékelése, mint az URH rádiótelefon, amely a digitális távközlés – tartós és kiterjedt áramszünet esetén beleértve akár a mobil távközlést is – esetleges üzemképtelenné tétele/válása esetén a villamosenergiaszolgáltatás helyreállításának távközlési „végső menedéke” lehet.
Összegzés
A 2015. évi ukrajnai volt az első olyan ismert eset, amikor bizonyítottan egy a villamosenergia-rendszert ért kibertámadás súlyosan megzavarta annak működését és fogyasztók tömegesen váltak ellátatlanná. Az akár 19 – de min. 9 – hónapos felderítés és előkészület után végrehajtott komplex és robusztus támadás során a támadó egyidőben három, eltérő rendszerekkel rendelkező (!) hálózati társaság egyszerre több rendszerének az üzemét zavarta meg sikerrel. A támadás sikerét mindenekelőtt az ügyviteli és az üzemviteli informatika közötti átjárhatóság, a felhasználói azonosító adatok nem kellően védett kezelése, a felhasználói azonosítás elégtelen biztonsága mellett a munkavállalók elégtelen biztonságtudatossága tette lehetővé.
A támadás nyomatékos figyelmeztetésként szolgál mind az ügyviteli, mind az ipari informatikai rendszerek tervezői, létesítői, üzemeltetői és felhasználói számára, hogy nem lehet büntetlenül figyelmen kívül hagyni a kritikus infrastruktúrák – köztük hangsúllyal a villamosenergiarendszer – kiberbiztonságát szolgáló elveket és gyakorlatot. Az ukrán áramszünet nem egyetlen sebezhetőség következménye. Kisebb-nagyobb hiányosságok összessége tette lehetővé a támadás sikerét, a villamosenergia-ellátás kiterjedt, több órás megszakítását.
A villamosenergia-rendszer zavartalan üzeméért felelős szakemberek számára különösen elgondolkodtató megállapítás lehet a következő megállapítás: „A hackerek jóval nagyobb kárt tudtak volna okozni, ha a támadás során az alállomási berendezéseket fizikailag is károsították volna, ezzel jóval nehezebbé téve az áramszünet utáni helyreállítást.” A 2007. évi híres Aurora generátor teszt, majd később a Stuxnet támadás óta nem kérdés, hogy kibertámadással fizikai rombolást is lehet okozni. Ennek tükrében elgondolkodtató azzal szembesülni, hogy az ukrajnai kibertámadás súlyossága nem elsősorban a támadó lehetőségeinek, hanem szándékainak volt a függvénye. [9] [10] [11]
A történtek elemzése azt is mutatta, hogy a támadó által használt eszközök nem voltak specifikusak az ukrán rendszerre. Az Ukrajnában alkalmazott támadási elv és gyakorlat bár eltérő súlyú következményekkel, de bármely más ország rendszerei esetében is hatásos lehet. [2]
Villamosenergetikai szempontból a támadás egyik legnagyobb tanulsága, hogy a villamosenergia-rendszert érő kibertámadás nem csak kiberbiztonsági ügy, hanem kiberbiztonsági és villamosenergetikai ügy! Egy-egy ilyen eset után a kiberbiztonsági mellett a villamosenergetikai szakmának is minden részletre kiterjedően meg kell csinálnia a maga „házi feladatát”, hogy nagyobb eséllyel legyen megelőzhető a következő kibertámadás miatti kiterjedt és elhúzódó áramszünet. Nem az a kérdés ugyanis, hogy lesz-e következő kibertámadás. Az a kérdés, hogy mikor, hol és milyen terjedelmű lesz…
A kritikus infrastruktúrákat – azon belül hangsúllyal a villamosenergiarendszert – 2015. óta egyre inkább érő kibertámadások nyomán a villamosenergetikai védelem és irányítástechnika, valamint a kiberbiztonság élvonalbeli magyar cégei 2018. decemberében SeConSys (Security for Control Systems) néven együttműködésre léptek. Ehhez utóbb számos villamosenergia-ipari cég, valamint illetékes állami szervezet csatlakozott. Az együttműködésben résztvevők célja a magyar villamosenergia-rendszer kiberbiztonságának erősítése, egy a 2015. decemberihez hasonló következményekkel járó kibertámadás megelőzése.
A 2015. és 2016. évi támadások összevetése
Míg a támadó a 2015. évi – egy villamosenergiarendszert ért első, kiterjedt fogyasztói ellátatlanságot okozó – kibertámadás során mintegy ötven elosztóhálózati alállomáson, addig a 2016. évi támadás során csak egyetlen, de átviteli hálózati alállomáson végzett kapcsolásokat.
Míg a 2015. évi támadás egyes lépéseit (pl. a megszakítók egyenkénti kikapcsolását) a támadó jórészt manuálisan hajtotta végre, addig a 2016. évi támadás jórészt előre programozottan, automatikusan zajlott. Egy automatizált támadás lényegesen gyorsabb lehet egy manuálisan végrehajtottnál. Tehát a 2016. évi a támadó által elkövetett hibák ellenére is határozottan fejlettebb – éppen ezért veszélyesebb! – volt a 2015. évinél.
Az elemzésekben fel-feltűnik, hogy mind 2015-ban, mind 2016-ban az alállomási RTU volt az ún. „támadási vektor”, azaz a támadás ezekre irányult. A fellelhető információk alapján e megállapítás árnyalása lehet szükséges. Mindenekelőtt az RTU terjedelme tisztázandó. Amennyiben az alállomási ember-gép kapcsolatot biztosító modult is az RTU részének tekintjük, akkor igaz, hogy a 2015-ös támadás az RTU-t is érte, hiszen e modul firmware-jét a támadó felülírta, működésképtelenné téve azt. Ugyanakkor az RTU alapvető funkcióit nem érte támadás és éppen ezek „rendeltetésszerű használata” révén tudta a támadó a korábban megszerzett üzemirányítói jogosultságok birtokában a megszakítókat kikapcsolni. Viszont 2016-ban a CrashOverride megzavarta az RTU-k működését és ez okozta a megszakítók kikapcsolódását egyben akadályozva visszakapcsolásukat is. Indokolt különbséget tenni az RTU támadó általi „rendeltetésszerű használata”, ill. működésképtelenné tétele között. Ugyanakkor a támadó tényleges célja mindkét támadás esetén a megszakítók kikapcsolása, ezzel az áramszolgáltatás megszakítása volt.
Források
[1] https://www.eiseverywhere.com/file_uploads/aed4bc20e84d2839b83c18bcba7e2876_Owens1.pdf
[2] E-ISAC_SANS_Ukraine_DUC_5.pdf (kasperskycontenthub.com)
[3] https://cys-centrum.com/ru/news/black_energy_2_3
[4] https://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
[5] https://www.youtube.com/watch?v=8ThgK1WXUgk
[6] When the Lights Went Out. Comprehensive Review of the 2015 Attacks on Ukrainian Critical Infrastructure. Jake Styczynski, Nate Beach-Westmoreland, 2019 Booz Allen Hamilton Inc.
[7] https://www.sans.org/blog/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid/
[9] https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
[11] http://fizikaiszemle.hu/archivum/fsz1105/cserhati1105.html
){kind=link}