IKT

Triton – nevarna koda, ki grozi industriji po vsem svetu

V Savdski Arabiji je že pokazal zobe; njegova naloga je onemogočiti fizične varnostne sisteme – in omogočiti katastrofo

Podporniki obveščajo

FINANCE
IKT
Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?
IKT
DIGITALNA DOSTOPNOST
IKTRedakcija IKT Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?

Več o tem boste izvedeli na brezplačnem izobraževanju, ki ga organizira Zavod za digitalno dostopnost A11Y.si.

FINANCE
IKT
Kako je videti virtualni pomočnik za podjetniška okolja
IKT
ADD KONFERENCA
IKTPodpornik projekta Kako je videti virtualni pomočnik za podjetniška okolja

To boste lahko izvedeli na letni konferenci podjetja ADD, na kateri bodo govorili tudi o novi regulativi, ki bo krojila nadaljnji razvoj, ter o podatkih in umetni inteligenci.

FINANCE
IKT
Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji
IKT
ZASEBNA 5G OMREŽJA
IKTPodpornik projekta Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji

Gre za naložbo v robustno omrežno infrastrukturo, ki je pripravljena na prihodnost in podpira trenutne in prihodnje potrebe po brezžični povezljivosti v proizvodnji in skladišču

FINANCE
IKT
Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem
IKT
NAGRADA ZA INOVACIJO
IKTPodpornik projekta Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem

Rešitev je v okviru pobude Tech4Aall razvil Huawei skupaj z lokalnimi partnerji

FINANCE
IKT
Poziv za obnovo pravil enotnega digitalnega trga
IKT
DIGITALNI TRG
IKTPodpornik projekta Poziv za obnovo pravil enotnega digitalnega trga

Digitalno preobrazbo tradicionalnih industrij bi bilo treba voditi z jasnimi pravili za dostop in delitev podatkov

30.04.2019 09:00
Čas branja: 5 min

Petrokemični obrat Petro Rabigh v Savdski Arabiji se je junija in avgusta 2017 dvakrat samodejno ustavil. Medtem ko pri prvi ustavitvi interni varnostni inženirji niso našli nobenih sumljivih sledi in so zato ocenili, da je šlo za mehansko napako, jim je bilo pri drugi hitro jasno, da je vzrok resnejši in dobro skrit. Upravi podjetja ni preostalo drugega, kot da je za pomoč zaprosila avstralsko podjetje Dragos, ki je različnim organizacijam in podjetjem že večkrat pomagalo po kibernetskih napadih.

Izkušena ekipa pod vodstvom varnostnega strokovnjaka Juliana Gutmanisa je več mesecev do najmanjših podrobnosti pregledovala delovanje savdskega petrokemičnega obrata za nekaj let nazaj. Temeljita analiza omrežij, programske opreme, kodnih zapisov, datotek ter fizičnih varnostnih instrumentnih sistemov in njihovih bralnih spominov je pripeljala do odkritja zlonamernega programa. Kodo so strokovnjaki poimenovali Triton (po fizičnih varnostnih krmilnikih Triconex, na katere cilja), skupina ruskih hekerjev, ki ga je ustvarila, pa je dobila ime Xenotime.

Xenotime ne bo odnehal

Gutmanis opozarja, da so odkrili več indicev, da namerava omenjena hekerska skupina Triton uporabiti tudi v drugih delih sveta in njegovo delovanje še nadgraditi. Nekateri zahodni varnostni strokovnjaki verjamejo, da so ruski hekerji Triton podtaknili v obrate v Ukrajini, ki jih uporabljajo kot testni poligon za svoja kibernetska orožja. Triletno nameščanje Tritona v obrat v Savdski Arabiji kaže, da je skupina pripravljena porabiti tudi več let, da bi se prebila skozi vse obrambne sloje.

Vse je spreletel srh

Gutmanis je dejal, da ga je ob odkritju Tritona spreletel srh, saj je postalo očitno, da so hekerji ciljali na fizične varnostne krmilnike in inštrumente Triconex ter pridruženo programsko opremo v obratu. Ta oprema, ki je proizvod francoskega podjetja Schneider Electric, je zadnja obrambna linija pred nesrečami v obratih. Njena naloga je, da se odziva na nevarna stanja in poskuša proces, če je to mogoče, v varne okvire vrniti z zapiranjem ventilov, odpiranjem mehanizmov za sproščanje tlaka in s podobnimi postopki. Če to ne uspe, obrat oziroma proizvodni proces ustavi. Nekaj takega se je v savdskem obratu Petro Rabigh zgodilo junija in avgusta 2017.

Sreča v nesreči

V obeh primerih so imeli Savdijci precej sreče, saj je napaka v zlonamerni kodi prekinila povezavo obrata s hekersko skupino in ji tako onemogočila dokončanje zlonamernega načrta. Fizični varnostni sistemi so zato še lahko ustavili delovanje obrata. Če načrt zaradi omenjene napake ne bi spodletel, bi lahko prišlo do katastrofe, ki je morda niti sami hekerji niso želeli.

Raziskovalci se kljub tej sreči v nesreči niso mogli veseliti, dokler niso končali raziskav. »Bila je stresna izkušnja, saj smo vedeli, da se ne moremo več zanesti na integriteto varnostnih sistemov,« je pojasnil Gutmanis.

Naloga Tritona je, preprosto povedano, onemogočiti delovanje fizičnega varnostnega sistema. Glavna nevarnost se skriva v njegovi sposobnosti, da praktično obrne vlogo fizičnih varnostnih sistemov – ti lahko, namesto da bi preprečili, celo omogočijo eksplozijo obrata, uhajanje strupenega vodikovega sulfida ali kakšno drugo škodo večjih razsežnosti. Strokovnjaki poudarjajo, da je to prvi primer zlonamerne kode, ki so jo zasnovali za ogrožanje človeških življenj.

Več povezovanja, večja nevarnost

Javnost je posebej zanimalo, kako je hekerjem sploh uspelo priti do kritičnih sistemov, ki so bili včasih večinoma povsem izolirani. Ena izmed napak zaposlenih v obratu, ki so omogočile triletno nemoteno aktivnost hekerske skupine, je bila, da so fizične ključe za nastavitev v Triconexu pustili v položaju, ki omogoča oddaljeni dostop do strojev.

Sicer pa gre odgovor iskati v tem, da večina industrijskih obratov ni več izoliranih, saj jih zadnja leta povezujejo na internet z nameščanjem senzorjev, sistemov za daljinsko upravljanje in drugih naprav interneta stvari. Senzorji in naprave omogočajo zbiranje podatkov, s katerimi lahko podjetja izboljšajo učinkovitosti, organizirajo prediktivno vzdrževanje (napovedovanje pravega časa za servisiranje opreme), poskrbijo za natančnejše nastavljanje procesov ter organizirajo daljinski nadzor procesov s pomočjo prenosnikov, tablic in pametnih telefonov. V analitičnem podjetju ARC Group so na primer napovedali, da bo letos trg industrijskih internetnih naprav, kot so na primer pametni senzorji in avtomatski kontrolni sistemi, vreden 37 milijard evrov.

Tri leta nemotenega učenja in modeliranja

Hekerska skupina je v IT-omrežje petrokemičnega podjetja vdrla leta 2014, verjetno skozi luknjo v slabo konfiguriranem požarnem zidu, ki bi moral onemogočiti nepooblaščeni dostop. Potem je našla pot v eno od inženirskih delovnih postaj, ali prek nepopravljene (neposodobljene) pomanjkljivosti v kodi operacijskega sistema Windows ali pa s prestrezanjem vpisnih poverilnic katerega od uporabnikov.

Ker je delovna postaja povezana in komunicira z varnostnimi instrumentnimi sistemi, so hekerji prišli do strojnih krmilnikov sistema in različic njihove programske opreme. V miru so lahko tri leta učili in modelirali tako krmilnike strojne opreme kot tudi njihovo mikrologiko, vdelano v bralne pomnilnike teh naprav, ki upravlja komunikacije z drugimi napravami.

Hrošč odprl pot do krmilnikov

Dragosovi strokovnjaki na podlagi testnih zapisov v najdenih datotekah domnevajo, da je hekerska skupina nabavila tudi Schneiderjev krmilnik Triconex in na njem preizkušala svojo zlonamerno programsko opremo. Poskrbeti so morali tudi za simulacije protokolov komunikacij inženirske delovne postaje z varnostnimi sistemi.

Očitno je tudi, da so hekerji odkrili dotlej neznanega hrošča v programski opremi Triconexa, ki jim je omogočil umestitev kode v bralne pomnilnike varnostnih sistemov ter s tem trajni dostop do krmilnikov. Strokovnjaki ocenjujejo, da so vsiljivci v preizkusu junija in avgusta 2017 ukazali varnostnemu sistemu, da se izključi, zlonamerni kodi pa, da vzpostavi nevarno stanje v obratu.

Cirilica in ruski IP-naslov

V Dragosu so se zavedali, da morajo o nevarnem programu obvestiti svetovno javnost. Podobni varnostni instrumentni sistemi se namreč med drugim uporabljajo tudi v drugih energetskih in prometnih sistemih, številnih proizvodnih obratih ter ne nazadnje v obratih za obdelavo vode v jedrskih elektrarnah. Pri tem so morali spoštovati določbe pogodbe o nerazkrivanju določenih podatkov, med katere sodi tudi ime obrata. Tega je šele marca letos razkril portal za energetske in okolijske strokovnjake E&E News.

Prva odkritja so bila delno objavljena decembra 2017. Tedaj so številni menili, da so Triton razvili iranski hekerji, da bi škodovali Savdski Arabiji. Podjetje za kibernetsko varnost FireEye, ki so ga v Petro Rabigh najeli pozneje, pa je oktobra lani po podrobnem preučevanju ocenilo, da so krivci ruski hekerji.

Sledi, ki jih ni nihče opazil

FireEye je med drugim v omrežju petrokemičnega obrata odkril datoteko, v kateri so ostale sledi do drugih datotek z zapisi testiranja. Med zapisi je našel tudi nekaj besed v cirilici in IP-naslov, iz katerega je skupina zaganjala operacije, povezane z zlonamerno kodo. Naslov pripada državnemu Centralnemu znanstvenoraziskovalnemu inštitutu za kemijo in mehaniko (CNIIHM) v Moskvi oziroma njegovemu oddelku za industrijsko varnost in kritične infrastrukture. Pri tem je treba poudariti, da FireEye ni našel neposrednega dokaza, da so Triton zares razvili v CNIIHM.

Gutmanis je januarja na konferenci o industrijski varnosti S4 v Miamiju razkril tudi pridobljene zapise in sledi, ki sta jih zlonamerna koda in dejavnosti hekerjev puščali za sabo med letoma 2014 in 2017, vendar jih prej nihče ni opazil. Med drugim so našli več protivirusnih alarmov, testne beležke in zapise o nenavadnem prometu znotraj omrežja.

Prvi, ne pa tudi zadnji

Dragos in FireEye kot pomemben nauk odkritja Tritona navajata, da se morajo industrijska podjetja posvečati tudi sistemom, ki se jim zdijo neprivlačni cilji za hekerske napade, so pa potencialno nevarni, če pride do nesreče. Med te sodijo programske aplikacije, ki se redko uporabljajo, in starejši protokoli za medstrojne komunikacije.

Strokovnjaki iz ameriškega Idaho National Laboratory svetujejo vsem industrijskim podjetjem s sistemi ICS in SCADA, da zaradi Tritona in drugih kibernetskih groženj korenito zmanjšajo število digitalnih poti, po katerih lahko hekerji pridejo do kritičnih procesov. Podjetja bodo z reduciranjem povezav in senzorjev verjetno utrpela določeno finančno škodo, vendar je Triton opozorilo, da je lahko škoda ob morebitnem neukrepanju še neprimerno večja.

Julian Gutmanis pa opozarja, da so napadi najbolj zlonamerne programske opreme neizogibni. »To je bil prvi napad in zelo bi me presenetilo, če bi bil tudi zadnji!«

Napišite svoj komentar

Da boste lahko napisali komentar, se morate prijaviti.
Več o temi
Kliknite + poleg oznake in se prijavite na obveščanje. S klikom na ime posamezne oznake preverite seznam člankov.
OGLAS
FINANCE
Nepremičnine
Nepremičnine Kakšen mora biti kakovosten servis kosilnice

Vključevati mora vse potrebne preglede in popravila kosilnice oziroma vrtnega traktorja ali riderja – opravite ga pri strokovnjaku.

FINANCE
PMM
(Železnice) Kdaj se bomo z vlaki vozili hitreje in udobneje kot z avti – in koliko nas bo to stalo
Pametna mesta in mobilnost
Pametna mesta in mobilnostNataša Koražija (Železnice) Kdaj se bomo z vlaki vozili hitreje in udobneje kot z avti – in koliko nas bo to stalo 3

Konkurenčen javni železniški potniški promet bi lahko dobili do leta 2030, v celoti pa do leta 2050. Okvirna ocena naložb v infrastrukturo, ki bi omogočala uvedbo taktnega potniškega prometa, je od tri do štiri milijarde evrov. V to številko še ni vključena poglobitev tirov v Ljubljani.

FINANCE
IKT
Ko vas zaslepi sonce oziroma lekcije kibernetskega napada Sunburst na SolarWinds
IKT
IKTBlaž Babnik Ko vas zaslepi sonce oziroma lekcije kibernetskega napada Sunburst na SolarWinds

Nekaj naukov, ki vam bodo v letu 2021 pomagale izboljšati informacijsko varnost v vaši organizaciji

FINANCE
IKT
Stroški zaradi kibernetskega kriminala so se lani povzpeli na 900 milijard evrov
IKT
IKTEsad Jakupović Stroški zaradi kibernetskega kriminala so se lani povzpeli na 900 milijard evrov

Nova realnost rnas čaka tudi pri kibernetski varnosti

FINANCE
Kibernetska varnost postaja glavno poslovno tveganje. Zakaj?
PRO
Finance
KIBERNETSKA VARNOST
Finance PRO Kibernetska varnost postaja glavno poslovno tveganje. Zakaj? (PRO)

Hekerski napadi lahko za več dni povsem ustavijo poslovanje podjetij – več o tem si preberite v posebni izdaji Kibernetska varnost.

Tovarna
Novice
(intervju) Pričakujemo razcvet digitalne preobrazbe v Sloveniji in regiji
Tovarna leta
NoviceSabina Petrov (intervju) Pričakujemo razcvet digitalne preobrazbe v Sloveniji in regiji

Vzpostaviti želimo bazo znanja in jo nesebično deliti z uporabniki, saj so digitalne tehnologije zelo kompleksne in zahtevajo multidisciplinarno znanje, pravi Zlatko Šimunec, lastnik in direktor hrvaške skupine CADCAM Group

Moje finance
Razno
Kaj je "no code" in kako programirati brez uporabe kode
Moje finance
RaznoBlaž Abe Kaj je "no code" in kako programirati brez uporabe kode

Nagli razvoj ustvarjanja naprednih rešitev z brezkodnim programiranjem uvršča "no code" med vroče tehnološke trende.

FINANCE
IKT
Zakaj in kako spletno trgovino povezati z zalednimi sistemi
IKT
IKTKlemen Koncilja Zakaj in kako spletno trgovino povezati z zalednimi sistemi

Medtem ko se je lani digitalizirala prodaja v strogem pomenu besede, se bo letos digitaliziral širši trženjski proces

FINANCE
Kibernetska varnost postaja glavno poslovno tveganje. Zakaj?
PRO
Finance
KIBERNETSKA VARNOST
Finance PRO Kibernetska varnost postaja glavno poslovno tveganje. Zakaj? (PRO)

Hekerski napadi lahko za več dni povsem ustavijo poslovanje podjetij – več o tem si preberite v posebni izdaji Kibernetska varnost.