Nie ma prądu? To może być cyber atak z wrogiego kraju

European Repository of Cyber Incidents (EuRepoC) naliczyła prawie pół tysiąca takich prób w ciągu ostatnich dwóch latach. Ze względu na poziom skomplikowania przeprowadzają je głównie służby wrogich państw.

W czarnym scenariuszu takich działań atak na infrastrukturę krytyczną powoduje nagle brak prądu na dużym terenie. Przez taki „blackout” trudno dostać się do budynków, bo nie działają domofony, trudno wypłacić pieniądze w bankomacie. W mieszkaniach jest zimno, ciemno. Tylko obiekty naprawdę krytyczne jak szpitale przełączą się na własne awaryjne źródła zasilania.

O wiele większym zagrożeniem byłoby skuteczne zablokowanie dostępu do wody. Możliwe jest też masowe zatrucie mieszkańców przez niesprawną oczyszczalnię ścieków lub zwiększoną ilość chloru w wodzie pitnej. Choć taka tragedia nigdy się nie wydarzyła, to cyberprzestępcy sprawdzają, czy mogą do tego we wrogim kraju doprowadzić. Nie trzeba tłumaczyć, co oznacza np. dla szpitali brak wody.

Ataki na polskie oczyszczalnie

Rosyjskie próby sabotażu infrastruktury krytycznej mają miejsce również w Polsce. W październiku 2024 roku zaatakowana została oczyszczalnia ścieków w Kuźnicy. W marcu grupa Cyber Army of Russia Reborn sprawdzała zabezpieczenia w oczyszczalni ścieków w Wydminach na Mazurach.

Ta grupa jest powiązana z jednostką Sandworm rosyjskiego wywiadu wojskowego. Poinformowała o ataku na Wydminy w wideo na Telegramie, na którym cyberprzestępcy przesuwają przełączniki w sterowni mazurskiej oczyszczalni, a w tle leci muzyka z Super Mario Bros. O ataku na obiekt w Polsce napisał amerykański magazyn „Wired”, porównując go z atakami tej samej grupy na infrastrukturę krytyczną we Francji i w Stanach Zjednoczonych.

Demonstracja siły w Polsce była jedną z serii ataków na infrastrukturę krytyczną w Europie, których celem była propagandowa pokazówka. Sprawę oczyszczalni w Wydminach zbadał CERT Polska, czyli państwowa służba powołana do reagowania na zdarzenia naruszające bezpieczeństwo w sieci.

Mimo że na wideo Cyber Army of Russia Reborn członkowie grupy zmieniają stan przełączników na panelu sterowania oczyszczalni, to nie pojawiły się potem żadne informacje o problemach w jej funkcjonowaniu. Cyberprzestępcy wykorzystali urządzenie w Wydminach, które było podłączone do internetu, ale zostało wcześniej błędnie skonfigurowane. Dlatego Rosjanie nie przejęli jednak kontroli nad oczyszczalnią. CERT Polska ocenił, że atak nie miał żadnych poważnych skutków dla ludzi czy środowiska. Wideo na Telegramie miało tylko budzić obawę, czy infrastruktura krytyczna jest w wystarczający sposób zabezpieczona przed atakiem z Rosji.

Rosja wywiera wpływ

Zdarzenia, takie jak w Wydminach czy w Kuźnicy, sprawiają, że w Europie narasta świadomość zagrożenia wojną hybrydową ze strony Rosji. Ta obawa nasiliła się ostatnio, gdy Europa i Stany zgodziły się, by armia ukraińska mogła rakietami dostarczonymi przez kraje NATO razić cele położone wewnątrz Rosji. Eksperci przewidywali, że w odwecie Rosja może stosować cyberataki na państwa NATO.

Ukraina jest nieprzerwanie ofiarą tego typu ataków, to teraz Rosja próbuje destabilizować kraje bałtyckie, Skandynawię i Europę Środkową.

Służby rosyjskie są odpowiedzialne za podpalenia, sabotaż, wysyłanie paczek z ładunkami zapalającymi, a nawet plany zamordowania osób pracujących w europejskim przemyśle zbrojeniowym. Częścią wojny hybrydowej stały się również cyberataki na infrastrukturę krytyczną.

Celem działań Rosji w Europie, według ekspertów od bezpieczeństwa z krajów NATO, których cytuje dziennik „The Guardian”, jest zaostrzenie napięć w społeczeństwach sojuszników Ukrainy i zakłócenie dostaw wojskowych dla Kijowa.

Organizowany przez Rosję sabotaż jest również reakcją na wydalenie w ciągu ostatnich dwóch lat 450 agentów służb rosyjskich działających pod przykryciem dyplomatycznym.

Dwa tygodnie bez benzyny

Próby przejęcia kontroli nad infrastrukturą krytyczną są bardzo niebezpieczne. W ostatnich latach zwiększyła się nie tylko skala i intensywność cyberprzestępstw, zwiększyły się techniczne możliwości zespołów przeprowadzających takie ataki, a z drugiej strony nie zostały do tych zagrożeń dostosowane zabezpieczenia automatyki przemysłowej. Problem nie dotyczy tylko agresji ze strony Rosji na Europę, ma charakter globalny.

Zdarzały się już cyberataki, gdzie atakujący nie zatrzymywali się na demonstrowaniu swoich umiejętności, tylko bezwzględnie destabilizowali życie milionów ludzi.

Iran od lat jest traktowany przez Izrael jako państwo wrogie i zagrażające jego istnieniu. Jednocześnie Iran jest podatny na cyberataki, bo ze względu na nałożone sankcje ma problem z uzyskaniem nowych technologii i aktualnego oprogramowania swoich systemów komputerowych, więc często polega na starszych wersjach i tańszej elektronice produkowanej w Chinach. To ułatwia cyber ataki.

W ostatnich latach takie ataki sparaliżowały w tym kraju stacje benzynowe, infrastrukturę lotniczą i kolejową. Przez dwa dni w lipcu 2021 na ekranach stacji kolejowych pojawiały się fałszywe informacje o opóźnieniach pociągów z numerem telefonu do biura najwyższego przywódcy republiki. Ten sam numer w październiku 2021 i w grudniu 2023 był też wyświetlany na wyłączonych zdalnie dystrybutorach stacji benzynowych. Awaria dotyczyła aż 70 proc. stacji w kraju, czyli około 4000 obiektów i trwała prawie dwa tygodnie. Przez ten czas paliwo było pompowane ręcznie, jednak to wcale nie rozwiązało problemu Irańczyków, bo zaatakowany został również system obowiązkowych państwowych refundacji za paliwo.

Groźne, cenne tajemnice

Przykład paraliżu życia w Iranie nie skłonił innych państw do wzmocnienia ochrony obiektów infrastruktury krytycznej. Dlaczego? Do ataku i przejęcia kontroli nad urządzeniami i systemami wykorzystywane są podatności programów komputerowych (czyli inaczej mówiąc dziury w zabezpieczeniach), a takie same systemy z takimi samymi podatnościami są wykorzystywane także w infrastrukturze w wielu innych krajach, w tym w kraju agresora.

Sytuacja w Iranie była skrajna, jednak przypadki sparaliżowania życia ludzi na dużą skalę są rzadkie, nawet jeżeli notuje się coraz więcej groźnych prób włamania się do infrastruktury krytycznej w Europie. I nawet jeśli rosyjska propaganda usiłuje tym straszyć Polaków. Jadnak czarny scenariusz – że przez atak hakerów na elektrownię nie będzie w Polsce prądu – nie jest największym z możliwych obecnie zagrożeń.

Najgroźniejsze jest utrzymywanie przez wrogie państwo w tajemnicy informacji, że przełamało zabezpieczenia w atakowanym kraju. Gdyby podatność została ujawniona, producenci oprogramowania wypuściliby aktualizację i usunęli wadę.

Jednak taka nieujawniona luka w zabezpieczeniu systemu występuje również w systemach, które kraj atakujący stosuje przecież we własnych oczyszczalniach ścieków czy elektrowniach.

Do tego podatności wcale nie są rzadkie, a oprogramowanie wykorzystywane w infrastrukturze krytycznej jest podobne na całym świecie. Zatem zachowując informację o podatności w tajemnicy, agresor też jest narażony na atak przeprowadzony z wykorzystaniem tej samej luki.