Ak niekto povie, že nedostatky v ochrane digitálnej infraštruktúry môžu spôsobiť celoštátny výpadok, nie je veľmi ďaleko od pravdy. Náš expert analyzoval reálny prípad kybernetického útoku na distribútora elektriny na Ukrajine.
V decembri 2015 bola cieleným útokom ohrozená ukrajinská spoločnosť Kyivoblenergo. Útočník začal so sociálnym inžinierstvom. Zamestnancom poslal e-mail s dokumentom, ktorý obsahoval škodlivý kód. Týmto spôsobom získal prístup do siete obete.V sieti bol prítomný takmer šesť mesiacov, a preto mal dosť času na oboznámenie sa s prostredím a spustenie vysoko synchronizovaného viacstupňového útoku na niekoľkých miestach. Podarilo sa mu získať prístupové práva administrátora a zmapovať infraštruktúru obete. Zistil, ako sa dá komunikovať so systémami DMS, a napísal vlastný škodlivý firmvér pre ďalšiu fázu útoku. Útočník dokonca otestoval svoj exploit priamo v sieti obete pred jeho spustením. Na vymazanie svojich stôp v systémoch spustil nástroj KillDisk s cieľom zabrániť akejkoľvek forenznej analýze. Pri útoku spôsobil masívny výpadok prúdu a súčasne vyradil z prevádzky telefonickú službu na call centre.
Kybernetický útok na ukrajinskú elektráreň bol dobre naplánovaný a vysoko koordinovaný. Útočník mal viacero možností, ako preniknúť do siete. K dispozícii boli rôzne informácie z verejne prístupných zdrojov, vrátane podrobného zoznamu typov infraštruktúry, napr. od predajcov terminálov diaľkového ovládania (Remote Terminal Unit), ako aj verzií zverejnených predajcami priemyselných systémov ICS na internete. Zdá sa, že siete VPN k systémom ICS z obchodnej siete nemali dvojfaktorové overenie. Okrem toho firewall umožnil útočníkovi vzdialenú správu z externého prostredia pomocou funkcie vzdialeného prístupu, ktorá tvorí natívnu súčasť systémov. Sieť neobsahovala žiadne komponenty na monitorovanie bezpečnosti. Chýbal akýkoľvek SIEM, pričom najdôležitejším faktorom bola zrejme poddimenzovanosť odborného personálu. Útočník bol prítomný v sieti šesť mesiacov a až do spustenia útoku zostal neodhalený. Použitím nástrojov na odosielanie logov na centrálny server a ich analýzou by sa výrazne zvýšila pravdepodobnosť jeho odhalenia. Pri uplatnení takéhoto prístupu systémy zaznamenávajú všetky aktivity vrátane každého kroku útočníka, takže jeho stopy by nezakryli ani antiforenzné nástroje.
Aj keď našťastie nedošlo k žiadnemu výpadku, následky tohto útoku boli značné. Ak by podnik uplatnil kontrolné mechanizmy na každej zo svojich vrstiev ochrany digitálnej infraštruktúry (použitie aktívneho bezpečnostného monitoringu), útočníci by boli odhalení oveľa skôr. Obrana všetkých vrstiev zabezpečenia dát môže zabrániť škodám alebo ich minimalizovať aj v takých citlivých prípadoch, ako bol tento.
