Maroochy Shire - pierwszy cyberatak insajdera na infrastrukturę krytyczną
Maroochy Shire (2000) - Vitek Boden i 800 000 litrów ścieków: pierwszy udokumentowany cyberatak insajdera na systemy SCADA infrastruktury wodno-kanalizacyjnej.
Queensland, Australia, luty 2000 roku. Mieszkańcy nadmorskiej gminy Maroochy Shire budzą się do widoku, który zapamiętają na długo. Rowy melioracyjne w parku Pacific Paradise wypełnione są cuchnącą, czarną cieczą. Rybki w Eudlo Creek przewracają się brzuchem do góry. Na terenie luksusowego hotelu Hyatt Regency ścieki sączą się po starannie przystrzyżonym trawniku. Służby komunalne nie rozumieją, co się dzieje - przepompownie ścieków zachowują się nieprzewidywalnie: pompy wyłączają się bez powodu, alarmy milkną, zawory otwierają się w momentach, gdy powinny być zamknięte.
Przez kolejne tygodnie sytuacja powtarza się raz za razem. Inżynierowie podejrzewają awarię systemu, wymianę oprogramowania, problemy z radiokomunikacją. Nikt nie podejrzewa, że po okolicznych drogach jeździ biały mitsubishi pajero, a za jego kierownicą siedzi człowiek z laptopem, radiotransmiterem i skradzioną jednostką sterującą SCADA na siedzeniu pasażera.
To historia Vitka Bodena - i pierwszego udokumentowanego cyberataku insajdera na infrastrukturę krytyczną.
Kontekst - inżynier, który znał system od wewnątrz
Vitek Boden był inżynierem zatrudnionym przez australijską firmę Hunter Watertech - przedsiębiorstwo, które zaprojektowało i zainstalowało system SCADA sterujący siecią kanalizacyjną gminy Maroochy Shire na Sunshine Coast w Queensland. System obejmował 142 przepompownie ścieków, połączone bezprzewodową siecią radiową z centralną dyspozytornią.
Boden znał ten system doskonale - pomagał go instalować. Wiedział, jak działają sterowniki, jakie częstotliwości radiowe są używane do komunikacji i jakie polecenia sterują pompami, zaworami i alarmami.
Problem zaczął się, gdy Boden odszedł z Hunter Watertech w okolicznościach, które pozostawiły w nim poczucie krzywdy. Złożył aplikację o pracę bezpośrednio w radzie gminy Maroochy Shire - operatorze systemu wodno-kanalizacyjnego. Został odrzucony. To odrzucenie stało się katalizatorem zemsty, która trwała prawie trzy miesiące.
Chronologia ataku
| Data | Wydarzenie |
|---|---|
| Luty 2000 | Boden kradnie sprzęt SCADA z magazynu Hunter Watertech: jednostkę RTU (Remote Terminal Unit) i radiotransmiter |
| 9 lutego 2000 | Pierwsze nieautoryzowane polecenia wysłane do przepompowni ścieków |
| Luty - kwiecień 2000 | 46 udokumentowanych ataków na przepompownie w gminie Maroochy Shire |
| Marzec 2000 | 800 000 litrów surowych ścieków wylanych do parków, cieków wodnych i na teren hotelu Hyatt Regency |
| 23 kwietnia 2000 | Boden zostaje zatrzymany po kontroli drogowej - policjant znajduje w samochodzie laptop, RTU i radiotransmiter |
| Listopad 2001 | Sąd skazuje Bodena na 2 lata pozbawienia wolności plus obowiązek pokrycia kosztów rekultywacji |
Anatomia ataku - radio, SCADA i cierpliwość
Boden nie hakował systemu w tradycyjnym rozumieniu tego słowa. Nie łamał haseł ani nie wykorzystywał luk w oprogramowaniu. Zamiast tego odtworzył fragment systemu sterowania w swoim samochodzie.
Sprzęt. Skradziona jednostka RTU (Remote Terminal Unit) - taki sam typ urządzenia, jaki pracował w każdej z 142 przepompowni. Radiotransmiter operujący na tych samych częstotliwościach, co legalna sieć SCADA. Laptop do programowania jednostki RTU.
Metoda. Boden jeździł samochodem w pobliżu przepompowni i wysyłał polecenia radiowe podszywając się pod centralną dyspozytornię. Z perspektywy sterowników w przepompowniach polecenia te były nieodróżnialne od legalnych komend operatora - pochodziły z urządzenia tego samego typu, na właściwej częstotliwości, w prawidłowym formacie protokołu.
Efekt. Polecenia Bodena wyłączały pompy, blokowały alarmy i otwierały zawory, powodując niekontrolowany wylew ścieków. System centralny nie rejestrował anomalii, ponieważ Boden potrafił też tłumić alarmy - znał architekturę systemu od wewnątrz.
Przez prawie trzy miesiące, w trakcie 46 osobnych ataków, Boden spowodował wylanie około 800 000 litrów surowych ścieków do środowiska naturalnego. Życie morskie w Eudlo Creek wyginęło. Tereny rekreacyjne zostały skażone. Zapach był nie do zniesienia przez tygodnie.
MITRE ATT&CK - mapowanie technik
| Taktyka | ID | Opis w kontekście Maroochy Shire |
|---|---|---|
| Initial Access | T0859 (Valid Accounts) | Wykorzystanie skradzionego sprzętu z legalnymi poświadczeniami / konfiguracją radiową |
| Impair Process Control | T0831 (Manipulation of Control) | Wysyłanie poleceń wyłączających pompy i otwierających zawory |
| Inhibit Response Function | T0878 (Alarm Suppression) | Tłumienie alarmów w przepompowniach, ukrywanie skutków ataku |
| Evasion | T0849 (Masquerading) | Podszywanie się pod legalną dyspozytornię za pomocą identycznego sprzętu RTU |
| Impact | T0879 (Damage to Property) | 800 000 litrów ścieków w środowisku naturalnym, zniszczenie ekosystemu lokalnego |
Jak go złapano
Ironia losu chciała, że Bodena złapała nie technologia, lecz rutynowa kontrola drogowa. 23 kwietnia 2000 roku policjant zatrzymał białego mitsubishi pajero z powodu podejrzenia kradzieży tablicy rejestracyjnej. Podczas przeszukania samochodu znalazł laptop, jednostkę RTU firmy Hunter Watertech i radiotransmiter. Połączenie tych elementów z trwającą serią awarii systemu kanalizacyjnego nie wymagało geniuszu dedukcji.
Dochodzenie wykazało, że logi przepompowni korelowały z momentami, w których Boden znajdował się w ich pobliżu - dane z systemu bilingowego operatora komórkowego potwierdziły jego obecność w okolicach atakowanych obiektów w czasie każdego incydentu.
Znaczenie historyczne
Maroochy Shire stało się pierwszym szeroko udokumentowanym przypadkiem celowego cyberataku na infrastrukturę krytyczną przez insajdera. Przypadek ten jest cytowany w niemal każdym podręczniku bezpieczeństwa systemów przemysłowych i stanowi punkt odniesienia dla:
- Programów zarządzania ryzykiem insajderskim - pokazał, że pracownicy i podwykonawcy z wiedzą o systemach sterowania mogą stanowić zagrożenie nawet po zakończeniu współpracy.
- Bezpieczeństwa komunikacji radiowej w systemach SCADA - unaocznił, że brak uwierzytelniania w protokołach radiowych pozwala na podszywanie się pod legalne urządzenia.
- Regulacji sektora wodno-kanalizacyjnego - przypadek Bodena przyspieszył prace nad wytycznymi bezpieczeństwa SCADA w Australii i USA (m.in. NIST SP 800-82).
Jak się chronić
TIP
Wdróż uwierzytelnianie i szyfrowanie komunikacji radiowej w systemach SCADA. Boden mógł wysyłać polecenia, ponieważ sieć radiowa nie weryfikowała tożsamości nadawcy. Nowoczesne systemy telemetryczne powinny stosować szyfrowaną komunikację z uwierzytelnianiem urządzeń. Więcej o bezpieczeństwie zdalnego dostępu do systemów ICS.
TIP
Zarządzaj cyklem życia poświadczeń i sprzętu. Po zakończeniu współpracy z podwykonawcą natychmiast dezaktywuj wszystkie dostępy, odzyskaj sprzęt i zmień klucze kryptograficzne/hasła. Boden miał miesiące na przygotowanie ataku po odejściu z firmy.
TIP
Wdróż monitoring anomalii w systemach SCADA - wykrywanie poleceń z nieoczekiwanych źródeł, nietypowych sekwencji operacji, podejrzanych wzorców komunikacji. Nawet prosty system logowania mógłby wcześniej wykryć, że polecenia przychodzą z urządzenia spoza zarejestrowanej infrastruktury. Podstawy monitoringu OT opisujemy w artykule o inwentaryzacji zasobów ICS.
TIP
Uwzględnij zagrożenie insajderskie w analizie ryzyka systemów OT. Standardy takie jak IEC 62443 wymagają oceny zagrożeń wewnętrznych - nie ograniczaj analizy ryzyka wyłącznie do aktorów zewnętrznych. Segmentacja sieci OT ogranicza zasięg potencjalnych szkód nawet w przypadku ataku insajdera.
Podsumowanie
Historia Vitka Bodena to przypomnienie, że zagrożenie cyberbezpieczeństwa nie zawsze przychodzi z drugiego końca świata, przez zaawansowany exploit na podatność zero-day. Czasem siedzi w białym samochodzie na parkingu obok przepompowni, z laptopem i głęboką znajomością systemu, który pomagał budować.
Maroochy Shire miało miejsce ponad dwadzieścia lat temu, ale lekcje z tego incydentu są aktualne do dzisiaj. Wszędzie tam, gdzie systemy sterowania opierają się na nieszyfrowanej komunikacji radiowej, gdzie dostęp podwykonawców nie jest ograniczany po zakończeniu projektu, gdzie monitoring anomalii nie istnieje - ryzyko powtórzenia scenariusza Bodena jest realne.
Źródła
- Malicious Control System Cyber Security Attack Case Study - Maroochy Water Services - MITRE
- Throwback Attack: An insider releases 265,000 gallons of sewage on the Maroochy Shire - Control Engineering
- What the Maroochy Incident taught us about Cyber Warfare - Curious Minds (Medium)
- Cybersafety Analysis of the Maroochy Shire Sewage Spill - MIT
- Lessons Learned from the Maroochy Water Breach - ResearchGate / IEEE
- Hacker jailed for revenge sewage attacks - The Register