Cyberatak na polskie firmy energetyczne

Opisane wczoraj przez „Rz" ataki, jakich dopuściła się tajemnicza grupa hakerów zwana Dragonfly (Ważka), to tylko wierzchołek góry lodowej. Eksperci twierdzą, że polskie firmy sektora energetycznego i surowcowego, które znalazły się na celowniku Ważki, będą bombardowane kolejnymi próbami zainfekowania systemów komputerowych. Choć koncerny nie przyznają się, że padły ofiarą cyberprzestępców, wiadomo już, że część e-ataków była skuteczna. Nie wiadomo natomiast, jakie dane wykradziono.

Szpiedzy i sabotaż

– Zarejestrowaliśmy 16 ataków, które zostały odparte przez firmy wyposażone w nasze systemy ochrony. Wiemy jednak, że grupa, którą nazwaliśmy Dragonfly, ma na koncie udane próby włamania – mówi „Rz" Jolanta Malak, szefowa polskiego oddziału Symantec, firmy specjalizującej się w e-zabezpieczeniach. To właśnie ta firma wykryła, że Ważka w ubiegłym roku uderzyła w 1000 firm z 84 krajów. Ataki dotyczyły głównie USA i Hiszpanii, jednak na celowniku była też Polska. – Zarejestrowaliśmy ataki, które miały na celu wykradanie danych istotnych z punktu widzenia firm, m.in. dotyczące planów eksploatacji złóż oraz wyników badań geologicznych. Co gorsza, zainfekowane oprogramowanie było przygotowane również do przejmowania kontroli nad infrastrukturą zarządzającą produkcją i do sabotażu – tłumaczy Jolanta Malak.

Faktyczna skala działania Dragonfly i skutki ataków jeszcze nie są znane. Nie ulega jednak wątpliwości, że polskie bezpieczeństwo energetyczne zostało zagrożone. – To nie były przypadkowe ataki, lecz precyzyjnie wymierzone, świetnie dopracowane i długotrwałe. To zaawansowana cyberprzestępczość, za którą stoi zorganizowana grupa speców od socjotechniki i deweloperów IT – podkreśla nasza rozmówczyni.

Nie wiadomo, kto konkretnie stoi za tymi atakami. Podejrzenie pada m.in. na Rosjan. – Trudno to stwierdzić, bo dziś praktycznie we wszystkich krajach powstają jednostki do cyberwojny. Tylko USA chcą zwerbować do niej kilka tysięcy osób – dodaje nasza rozmówczyni.

43 proc. firm chce zwiększyć budżet na ochronę danych. 68 proc. uważa jednak, że są dobrze zabezpieczone

To byli fachowcy

Dragonfly jeszcze trzy lata temu koncentrowała się na atakach na amerykański przemysł zbrojeniowy i lotniczy. Od zeszłego roku na celowniku znalazła się Europa. Hakerzy działali tu intensywnie: wysyłali e-maile z załącznikiem sugerującym, że znajdują się w nim dane dotyczące finansów i działalności danej firmy. Uprzednio przestępcy dzwonili do sekretariatu atakowanej spółki i informowali o spodziewanym e-mailu oraz konieczności zapoznania się z zawartymi w nim danymi. Po otwarciu pliku aktywowane było złośliwe oprogramowanie, które pozwalało przejąć kontrolę nad komputerem, zdobyć hasła i dane z katalogów.

Takie ataki spamem trwały od lutego do lipca 2013 r. (w ubiegłym roku liczba precyzyjnych ataków spamowych, wymierzonych w konkretnych odbiorców, wzrosła o 91 proc.). W czerwcu Ważka wyprowadziła kolejny, bardziej wyrafinowany cios – nazywany przez informatyków wodopojem. Akcja polegała na infekowaniu stron często odwiedzanych przez pracowników danej branży. Były to np. portale poświęcone energetyce. Oprogramowanie szpiegujące było praktycznie niewykrywalne, bo aktywowało się dopiero po wejściu na daną stronę WWW przez komputer o konkretnym IP. Przestępcy wcześniej zdobywali więc IP swoich celów.

Ważka zainfekowała również trzy międzynarodowe firmy produkujące oprogramowanie do kontroli produkcji. Wystarczyło, by ich klienci odświeżyli legalnie dostarczony software, by przestępcy zyskali dostęp do komputerów.

Słabe ?e-zabezpieczenia

Eksperci uważają, że pojawienie się kolejnych ataków to tylko kwestia czasu. Najbardziej zagrożone mają być właśnie sektory energetyczny, surowcowy oraz administracja publiczna.

Tymczasem e-zabezpieczenia w Polsce nie są wystarczające. – Dobrze przygotowany jest sektor bankowy, który od wielu lat rozwija bankowość internetową i inwestuje w cyberbezpieczeństwo. Niestety, w wielu innych organizacjach kwestie związane np. z ochroną danych osobowych są bagatelizowane. Nie ma świadomości zagrożeń – zaznacza Jolanta Malak.

Na świecie kradzione są głównie dane kart kredytowych i numery ubezpieczeń. W 2013 r. przestępcy pozyskali globalnie w ten sposób co najmniej 550 mln tożsamości.

O tym, jak Polska zabezpieczona jest przed e-atakami, dowiemy się w marcu 2015 r. Wówczas ma się zakończyć kontrola Najwyższej Izby Kontroli, m.in. w resortach administracji i cyfryzacji, obrony narodowej, ABW czy policji. – Sprawdzamy, czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni – wyjaśnia Paweł Biedziak, rzecznik NIK.

Joanna Świątkowska, ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa

Celem ataku Ważki mogły być rodzime przedsiębiorstwa kluczowe dla funkcjonowania bezpieczeństwa państwa, zarządzające infrastrukturą krytyczną, głównie firmy zajmujące się zaopatrywaniem w energię i paliwa. To nie pierwszy taki przypadek, ale jeden z niewielu, który został ujawniony. Ataki nasilają się i są coraz groźniejsze. Kradzież danych to jedno, ale są obawy, że zaatakowane zostaną systemy sterowania przemysłem, a to może oznaczać fizyczne uszkodzenia instalacji, przerwy w dostawach prądu, destabilizację gospodarki czy nawet zagrożenie życia ludzi. Wykrycie sprawców i inspiratorów będzie trudne. Grupę mogło wynająć obce państwo. Wskazuje na to dobór celów i skala ataków.

Zagrożenie w Polsce jest duże

Polskie firmy są wyjątkowo czułe na ataki hakerów. Z najnowszych badań firmy Check Point Swoftware Technology wynika, że średnio jednorazowe straty przedsiębiorstwa z tego tytułu sięgają 450 tys. zł. Dla porównania, podobne koszty ponoszone w Wielkiej Brytanii szacuje się na 50–250 tys. zł na firmę. Badania Cisco wskazują, że poziom e-zagrożeń jest najwyższy od połowy 2000 r. Tylko w porównaniu z 2012 łączna skala incydentów bezpieczeństwa IT wzrosła w zeszłym roku o 14 proc. Dziś już 31 proc. firmy deklaruje, że co roku pada ofiarą hakerów. A będzie jeszcze gorzej. Według Cisco na świecie brakuje bowiem 1 mln ekspertów od zabezpieczeń IT. A cyberprzestępców przybywa i stają się coraz bardziej zuchwali. Jak tłumaczy Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa w Cisco Systems Poland, liczba luk, przez które przestępcy mogą się dostać do naszych komputerów, jest ogromna. – Cyberataki wyraźnie się nasiliły. Badanie losowo wybranej grupy 30 firm spośród największych międzynarodowych korporacji wykazało, że wszystkie ich sieci generowały tzw. gościnny ruch na strony zawierające złośliwy kod – podkreśla. Cisco wyliczyło, że 96 proc. sieci przekazywało ruch do przejętych serwerów, a 92 proc. – do stron, które zazwyczaj są hostami dla złośliwej aktywności. Z analiz wynika, że problem cyberataków dotyczy głównie firm z branż farmaceutycznej, chemicznej, elektronicznej oraz energetycznej i gazowo-naftowej. Najczęściej spotykanym rodzajem złośliwego oprogramowania są trojany. Atakowane są nie tylko komputery, ale coraz częściej urządzenia mobilne (1,2 proc. incydentów).

Elektroenergetyka

Pozostało 93% artykułu