Petrokemični obrat Petro Rabigh v Savdski Arabiji se je junija in avgusta 2017 dvakrat samodejno ustavil. Medtem ko pri prvi ustavitvi interni varnostni inženirji niso našli nobenih sumljivih sledi in so zato ocenili, da je šlo za mehansko napako, jim je bilo pri drugi hitro jasno, da je vzrok resnejši in dobro skrit. Upravi podjetja ni preostalo drugega, kot da je za pomoč zaprosila avstralsko podjetje Dragos, ki je različnim organizacijam in podjetjem že večkrat pomagalo po kibernetskih napadih.
Izkušena ekipa pod vodstvom varnostnega strokovnjaka Juliana Gutmanisa je več mesecev do najmanjših podrobnosti pregledovala delovanje savdskega petrokemičnega obrata za nekaj let nazaj. Temeljita analiza omrežij, programske opreme, kodnih zapisov, datotek ter fizičnih varnostnih instrumentnih sistemov in njihovih bralnih spominov je pripeljala do odkritja zlonamernega programa. Kodo so strokovnjaki poimenovali Triton (po fizičnih varnostnih krmilnikih Triconex, na katere cilja), skupina ruskih hekerjev, ki ga je ustvarila, pa je dobila ime Xenotime.
Xenotime ne bo odnehal
Gutmanis opozarja, da so odkrili več indicev, da namerava omenjena hekerska skupina Triton uporabiti tudi v drugih delih sveta in njegovo delovanje še nadgraditi. Nekateri zahodni varnostni strokovnjaki verjamejo, da so ruski hekerji Triton podtaknili v obrate v Ukrajini, ki jih uporabljajo kot testni poligon za svoja kibernetska orožja. Triletno nameščanje Tritona v obrat v Savdski Arabiji kaže, da je skupina pripravljena porabiti tudi več let, da bi se prebila skozi vse obrambne sloje.
Vse je spreletel srh
Gutmanis je dejal, da ga je ob odkritju Tritona spreletel srh, saj je postalo očitno, da so hekerji ciljali na fizične varnostne krmilnike in inštrumente Triconex ter pridruženo programsko opremo v obratu. Ta oprema, ki je proizvod francoskega podjetja Schneider Electric, je zadnja obrambna linija pred nesrečami v obratih. Njena naloga je, da se odziva na nevarna stanja in poskuša proces, če je to mogoče, v varne okvire vrniti z zapiranjem ventilov, odpiranjem mehanizmov za sproščanje tlaka in s podobnimi postopki. Če to ne uspe, obrat oziroma proizvodni proces ustavi. Nekaj takega se je v savdskem obratu Petro Rabigh zgodilo junija in avgusta 2017.
Sreča v nesreči
V obeh primerih so imeli Savdijci precej sreče, saj je napaka v zlonamerni kodi prekinila povezavo obrata s hekersko skupino in ji tako onemogočila dokončanje zlonamernega načrta. Fizični varnostni sistemi so zato še lahko ustavili delovanje obrata. Če načrt zaradi omenjene napake ne bi spodletel, bi lahko prišlo do katastrofe, ki je morda niti sami hekerji niso želeli.
Raziskovalci se kljub tej sreči v nesreči niso mogli veseliti, dokler niso končali raziskav. »Bila je stresna izkušnja, saj smo vedeli, da se ne moremo več zanesti na integriteto varnostnih sistemov,« je pojasnil Gutmanis.
Naloga Tritona je, preprosto povedano, onemogočiti delovanje fizičnega varnostnega sistema. Glavna nevarnost se skriva v njegovi sposobnosti, da praktično obrne vlogo fizičnih varnostnih sistemov – ti lahko, namesto da bi preprečili, celo omogočijo eksplozijo obrata, uhajanje strupenega vodikovega sulfida ali kakšno drugo škodo večjih razsežnosti. Strokovnjaki poudarjajo, da je to prvi primer zlonamerne kode, ki so jo zasnovali za ogrožanje človeških življenj.
Več povezovanja, večja nevarnost
Javnost je posebej zanimalo, kako je hekerjem sploh uspelo priti do kritičnih sistemov, ki so bili včasih večinoma povsem izolirani. Ena izmed napak zaposlenih v obratu, ki so omogočile triletno nemoteno aktivnost hekerske skupine, je bila, da so fizične ključe za nastavitev v Triconexu pustili v položaju, ki omogoča oddaljeni dostop do strojev.
Sicer pa gre odgovor iskati v tem, da večina industrijskih obratov ni več izoliranih, saj jih zadnja leta povezujejo na internet z nameščanjem senzorjev, sistemov za daljinsko upravljanje in drugih naprav interneta stvari. Senzorji in naprave omogočajo zbiranje podatkov, s katerimi lahko podjetja izboljšajo učinkovitosti, organizirajo prediktivno vzdrževanje (napovedovanje pravega časa za servisiranje opreme), poskrbijo za natančnejše nastavljanje procesov ter organizirajo daljinski nadzor procesov s pomočjo prenosnikov, tablic in pametnih telefonov. V analitičnem podjetju ARC Group so na primer napovedali, da bo letos trg industrijskih internetnih naprav, kot so na primer pametni senzorji in avtomatski kontrolni sistemi, vreden 37 milijard evrov.
Tri leta nemotenega učenja in modeliranja
Hekerska skupina je v IT-omrežje petrokemičnega podjetja vdrla leta 2014, verjetno skozi luknjo v slabo konfiguriranem požarnem zidu, ki bi moral onemogočiti nepooblaščeni dostop. Potem je našla pot v eno od inženirskih delovnih postaj, ali prek nepopravljene (neposodobljene) pomanjkljivosti v kodi operacijskega sistema Windows ali pa s prestrezanjem vpisnih poverilnic katerega od uporabnikov.
Ker je delovna postaja povezana in komunicira z varnostnimi instrumentnimi sistemi, so hekerji prišli do strojnih krmilnikov sistema in različic njihove programske opreme. V miru so lahko tri leta učili in modelirali tako krmilnike strojne opreme kot tudi njihovo mikrologiko, vdelano v bralne pomnilnike teh naprav, ki upravlja komunikacije z drugimi napravami.
Hrošč odprl pot do krmilnikov
Dragosovi strokovnjaki na podlagi testnih zapisov v najdenih datotekah domnevajo, da je hekerska skupina nabavila tudi Schneiderjev krmilnik Triconex in na njem preizkušala svojo zlonamerno programsko opremo. Poskrbeti so morali tudi za simulacije protokolov komunikacij inženirske delovne postaje z varnostnimi sistemi.
Očitno je tudi, da so hekerji odkrili dotlej neznanega hrošča v programski opremi Triconexa, ki jim je omogočil umestitev kode v bralne pomnilnike varnostnih sistemov ter s tem trajni dostop do krmilnikov. Strokovnjaki ocenjujejo, da so vsiljivci v preizkusu junija in avgusta 2017 ukazali varnostnemu sistemu, da se izključi, zlonamerni kodi pa, da vzpostavi nevarno stanje v obratu.
Cirilica in ruski IP-naslov
V Dragosu so se zavedali, da morajo o nevarnem programu obvestiti svetovno javnost. Podobni varnostni instrumentni sistemi se namreč med drugim uporabljajo tudi v drugih energetskih in prometnih sistemih, številnih proizvodnih obratih ter ne nazadnje v obratih za obdelavo vode v jedrskih elektrarnah. Pri tem so morali spoštovati določbe pogodbe o nerazkrivanju določenih podatkov, med katere sodi tudi ime obrata. Tega je šele marca letos razkril portal za energetske in okolijske strokovnjake E&E News.
Prva odkritja so bila delno objavljena decembra 2017. Tedaj so številni menili, da so Triton razvili iranski hekerji, da bi škodovali Savdski Arabiji. Podjetje za kibernetsko varnost FireEye, ki so ga v Petro Rabigh najeli pozneje, pa je oktobra lani po podrobnem preučevanju ocenilo, da so krivci ruski hekerji.
Sledi, ki jih ni nihče opazil
FireEye je med drugim v omrežju petrokemičnega obrata odkril datoteko, v kateri so ostale sledi do drugih datotek z zapisi testiranja. Med zapisi je našel tudi nekaj besed v cirilici in IP-naslov, iz katerega je skupina zaganjala operacije, povezane z zlonamerno kodo. Naslov pripada državnemu Centralnemu znanstvenoraziskovalnemu inštitutu za kemijo in mehaniko (CNIIHM) v Moskvi oziroma njegovemu oddelku za industrijsko varnost in kritične infrastrukture. Pri tem je treba poudariti, da FireEye ni našel neposrednega dokaza, da so Triton zares razvili v CNIIHM.
Gutmanis je januarja na konferenci o industrijski varnosti S4 v Miamiju razkril tudi pridobljene zapise in sledi, ki sta jih zlonamerna koda in dejavnosti hekerjev puščali za sabo med letoma 2014 in 2017, vendar jih prej nihče ni opazil. Med drugim so našli več protivirusnih alarmov, testne beležke in zapise o nenavadnem prometu znotraj omrežja.
Prvi, ne pa tudi zadnji
Dragos in FireEye kot pomemben nauk odkritja Tritona navajata, da se morajo industrijska podjetja posvečati tudi sistemom, ki se jim zdijo neprivlačni cilji za hekerske napade, so pa potencialno nevarni, če pride do nesreče. Med te sodijo programske aplikacije, ki se redko uporabljajo, in starejši protokoli za medstrojne komunikacije.
Strokovnjaki iz ameriškega Idaho National Laboratory svetujejo vsem industrijskim podjetjem s sistemi ICS in SCADA, da zaradi Tritona in drugih kibernetskih groženj korenito zmanjšajo število digitalnih poti, po katerih lahko hekerji pridejo do kritičnih procesov. Podjetja bodo z reduciranjem povezav in senzorjev verjetno utrpela določeno finančno škodo, vendar je Triton opozorilo, da je lahko škoda ob morebitnem neukrepanju še neprimerno večja.
Julian Gutmanis pa opozarja, da so napadi najbolj zlonamerne programske opreme neizogibni. »To je bil prvi napad in zelo bi me presenetilo, če bi bil tudi zadnji!«
