Czym jest system Scada?

 

SCADA (Supervisory Control And Data Acquisition) jest systemem informatycznym służącym do zarządzania i nadzorowania pracy systemu przemysłowego, procesu technologicznego lub produkcyjnego. Systemy te składają się z całej infrastruktury monitorowania i kontrolowania pracy sprzętu i aparatury, zbieranie i archiwizowanie wyników, wizualizacja oraz rejestrowanie przebiegu pracy danego systemu. SCADA zbiera dane przede wszystkim z czujników, aparatury pomiarowej oraz sterowników PLC (Programowalny Kontroler Logiczny), które są podłączone bezpośrednio do systemu produkcyjnego.

Stwierdzenie, że Stuxnet został stworzony do ataku na systemy SCADA to nieco przesadne ujęcie tematu. Na wyrost, ponieważ SCADA to systemy zamknięte, a Stuxnet atakował komputery i serwery z systemem operacyjnym Windows, które jedynie były połączone ze sterownikami PLC. Szkodnik ten był spreparowany na konkretny sprzęt – wyszukiwał w atakowanym systemie sterownik kontrolera Siemens SIMATIC WinCC/ Step 7. Atakowany komputer nie stanowił więc pełnej infrastruktury SCADA, ale był tylko komputerem, który kontroluje pracę wskazanej jednostki PLC. Podstawową metodą ataku Stuxneta był błąd systemów Windows w przetwarzaniu plików skrótów *.lnk na nośnikach wymiennych.

Stuxnet uderza

Można by zapytać gdzie w momencie ataku są antywirusy? Znane do tej pory metody ataków, które wykorzystywały nośniki wymienne, niemal zawsze opierały się na wykorzystaniu pliku autorun. inf. Twórcy Stuxneta celowo połączyli w jednym szkodliwym programie kilka technik – exploitowali nieznaną do tej pory (również programom antywirusowym) metodę ataku z nośnika wymiennego. Stworzyli takie zagrożenie, które atakowało tylko po znalezieniu w systemie zainstalowanego sterownika PLC Siemensa. Jeśli tego sterownika nie było, malware nie uaktywniał się, lecz ulegał samozniszczeniu. Sprawę dodatkowo komplikowała zmyślna konstrukcja Stuxneta oparta na aż pięciu expolitach, z których cztery były 0-day’ami. Po dokładniejszej analizie ustalono, że Stuxnet potrafił także przeprowadzić atak, wykorzystując nieznane w 2010 roku luki w obsłudze NFS i WebDAV.

Stuxnet to pierwszy znany exploit na systemy przemysłowe, który w praktyce pokazał, że cyberterroryzm to dziś jedno z najcięższych zagrożeń. Ciekawostką może być fakt, iż wspomniane sterowniki PLC Siemensa wykorzystywane są w wirówkach gazowych i wirówkach do wzbogacania uranu, których używa np. Iran w swoim przemyśle nuklearnym. Stuxnet atakując, celował w konwertery częstotliwości w tych sterownikach,: powodowało zmiany prądu sterującego, a w rezultacie przyśpieszało pracę wirówek. Odpowiednio dopracowany atak, odpowiednie przesterowanie pracy tych sterowników mogłoby doprowadź do wypadku i bardzo poważnej awarii.