Iran, Rosja i Chiny atakują wodociągi: słabe zabezpieczenia OT zwiększają ryzyko sabotażu

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu
2 W skrócie
3 Kontekst i historia
4 Analiza techniczna
5 Konsekwencje i ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu

Systemy wodociągowe i kanalizacyjne należą do infrastruktury krytycznej, ponieważ odpowiadają za dostarczanie wody pitnej, oczyszczanie ścieków oraz utrzymanie ciągłości usług komunalnych. Z perspektywy cyberbezpieczeństwa są one atrakcyjnym celem dla aktorów państwowych, ponieważ nawet ograniczone zakłócenie pracy może wywołać silny efekt psychologiczny, polityczny i operacyjny.

Najnowsze analizy pokazują, że kampanie wymierzone w ten sektor bardzo często nie wymagają zaawansowanego malware. W wielu przypadkach wystarcza wykorzystanie podstawowych błędów bezpieczeństwa w środowiskach ICS i OT, takich jak słabe hasła, nieprawidłowa konfiguracja zdalnego dostępu czy brak segmentacji sieci.

W skrócie

Ataki na sektor wodny prowadzone przez podmioty powiązane z Iranem, Rosją i Chinami koncentrują się na systemach sterowania, zdalnym dostępie oraz słabo chronionych interfejsach operatorskich. Napastnicy często wykorzystują publicznie dostępne urządzenia HMI i PLC, przestarzałe systemy oraz współdzielone konta administracyjne.

Iran wykorzystuje słabo zabezpieczone systemy głównie do wywołania efektu propagandowego i presji psychologicznej.
Rosja częściej testuje scenariusze sabotażowe i bezpośrednią manipulację procesami.
Chiny koncentrują się na długotrwałym utrzymaniu dostępu do infrastruktury krytycznej.

Kontekst i historia

Zainteresowanie sektorem wodnym ze strony aktorów państwowych nie jest nowe, jednak w ostatnich latach wyraźnie wzrosło. Publiczna debata wokół bezpieczeństwa systemów wodnych nasiliła się po głośnych incydentach, które pokazały, że nawet pojedynczy nieautoryzowany dostęp do systemu uzdatniania wody może stać się poważnym problemem operacyjnym i wizerunkowym.

Od 2024 roku analitycy częściej wskazują, że celem takich działań nie zawsze jest natychmiastowe skażenie wody lub długotrwałe przerwanie dostaw. Równie ważne są rozpoznanie infrastruktury, demonstracja możliwości, wywołanie niepokoju społecznego oraz przygotowanie przyczółków pod przyszłe operacje. To właśnie w tym kontekście regularnie pojawiają się kampanie przypisywane Iranowi, Rosji i Chinom.

Analiza techniczna

Techniczny obraz zagrożenia jest szczególnie niepokojący, ponieważ często nie opiera się na skomplikowanych narzędziach. Atakujący wykorzystują przede wszystkim słabe uwierzytelnianie, urządzenia sterujące wystawione do Internetu, podatne systemy zdalnego dostępu oraz niewystarczającą separację środowisk IT i OT.

W operacjach powiązanych z Iranem obserwowano kompromitację publicznie dostępnych sterowników PLC oraz systemów kontroli wykorzystywanych w obiektach wodociągowych. Tego typu działania mają często charakter oportunistyczny: napastnicy wyszukują łatwo dostępne cele o niskim poziomie ochrony, a następnie wykorzystują uzyskany dostęp do osiągnięcia efektu medialnego lub politycznego.

Aktywność przypisywana Rosji ma bardziej sabotażowy charakter. W opisywanych przypadkach napastnicy uzyskiwali dostęp do zdalnych interfejsów przemysłowych i podejmowali próby bezpośredniej manipulacji pracą systemów. Nawet krótkotrwałe zakłócenie, takie jak zmiana parametrów procesu czy przepełnienie zbiornika, może wystarczyć do przetestowania reakcji operatora i służb.

Chiny z kolei koncentrują się głównie na długoterminowym utrzymaniu obecności w sieciach infrastruktury krytycznej. Kampanie wiązane z grupami takimi jak Volt Typhoon opierają się na technikach living-off-the-land, wykorzystaniu legalnych narzędzi administracyjnych, kradzieży poświadczeń oraz unikaniu działań, które mogłyby szybko wzbudzić alarm.

Istotnym wnioskiem jest to, że powierzchnia ataku nie kończy się na systemach SCADA. Punktem wejścia mogą być również systemy bilingowe, portale klienta, repozytoria GIS, serwery pośredniczące, dostęp dostawców, kopie zapasowe oraz systemy tożsamości. Oznacza to, że bezpieczeństwo sektora wodnego trzeba analizować jako problem całego ekosystemu technologicznego.

Konsekwencje i ryzyko

Skutki cyberataku na system wodociągowy nie muszą od razu oznaczać skażenia wody, aby były poważne. Już samo zakłócenie ciągłości pracy, utrata widoczności procesów, manipulacja parametrami lub wyłączenie części infrastruktury może wymusić działania awaryjne, zwiększyć koszty operacyjne i obniżyć zaufanie obywateli do operatora.

Ryzyko należy rozpatrywać na kilku poziomach:

operacyjnym — związanym z zatrzymaniem lub degradacją procesu technologicznego,
publicznym — gdy atak wpływa na dostępność usług komunalnych lub nadzór nad jakością wody,
strategicznym — gdy infrastruktura wodna staje się narzędziem presji politycznej,
wtórnym — gdy początkowy dostęp służy dalszej penetracji organizacji lub jej partnerów.

Szczególnie narażone są małe jednostki komunalne, które dysponują ograniczonym budżetem, korzystają z przestarzałych rozwiązań i utrzymują zdalny dostęp dla integratorów bez wdrożenia silnych mechanizmów kontroli.

Rekomendacje

Podstawą ochrony powinno być usunięcie najczęstszych słabości wykorzystywanych przez atakujących. W praktyce oznacza to eliminację domyślnych i słabych haseł, wdrożenie wieloskładnikowego uwierzytelniania dla zdalnego dostępu oraz ograniczenie ekspozycji urządzeń HMI, PLC i bram zdalnych na publiczny Internet.

Kolejnym krokiem jest ścisła segmentacja sieci IT i OT. Ruch pomiędzy strefami powinien być minimalizowany, monitorowany i filtrowany, a dostęp dostawców realizowany przez kontrolowane kanały z rejestracją sesji oraz zasadą najmniejszych uprawnień.

Operatorzy powinni również wdrożyć monitoring ukierunkowany na środowiska przemysłowe, obejmujący analizę anomalii w komunikacji, zmian konfiguracji urządzeń sterujących oraz nietypowych operacji wykonywanych poza standardowym harmonogramem pracy. Kluczowe znaczenie mają także aktualny inwentarz zasobów, plan reagowania na incydenty OT, kopie zapasowe konfiguracji i regularne testy odtwarzania.

Podsumowanie

Rosnąca aktywność Iranu, Rosji i Chin wobec systemów wodociągowych pokazuje, że infrastruktura krytyczna pozostaje jednym z najważniejszych celów operacji państwowych. Najważniejszy wniosek jest jednak prosty: powodzenie wielu ataków wynika nie z wyjątkowo zaawansowanych narzędzi, lecz z podstawowych błędów w cyberhigienie i architekturze sieci.

Dla operatorów sektora wodnego oznacza to konieczność równoległego wzmacniania fundamentów bezpieczeństwa, segmentacji środowisk OT oraz zdolności do wczesnego wykrywania działań przeciwnika. Bez tych działań nawet stosunkowo proste techniki mogą prowadzić do incydentów o dużym znaczeniu operacyjnym i strategicznym.