Cyberatak na linię produkcyjną: scenariusz krok po kroku i wnioski dla bezpieczeństwa OT

Wprowadzenie: scenariusz oparty na realnych incydentach

Poniższy scenariusz to fikcyjna, ale realistyczna rekonstrukcja cyberataku na polską fabrykę produkującą komponenty motoryzacyjne. Każdy element opiera się na technikach i taktykach zaobserwowanych w realnych incydentach — atakach na Norsk Hydro, Toyota/Kojima, JBS Foods i dziesiątkach mniejszych firm produkcyjnych.

Celem nie jest straszenie, lecz edukacja — zrozumienie łańcucha ataku (kill chain) pozwala zidentyfikować punkty, w których można go przerwać.

Kontekst firmy: FabrykaTech Sp. z o.o. — 400 pracowników, 3 linie produkcyjne, systemy Siemens S7-1500, SCADA WinCC, MES, SAP ERP. Obrót: 80 mln EUR. Klasyfikacja NIS2: podmiot ważny.

Dzień 0: Rekonesans — atakujący zbiera informacje

Grupa ransomware (BlackCat/ALPHV) prowadzi rekonesans pasywny:

• LinkedIn: identyfikacja inżynierów automatyki, administratorów IT, dostawców OT
• OSINT: skanowanie subdomen, wycieknięte credentials z historycznych breachów
• Shodan/Censys: identyfikacja urządzeń dostępnych z Internetu (otwarte porty RDP, VPN)

Znalezisko: Webowy panel VPN (Fortinet) bez MFA, stare konto serwisowe z hasłem wyciekniętym w breahu 2023.

Co mogło to powstrzymać: MFA na wszystkich dostępach zdalnych, monitoring dark web pod wyciekami credentials, regularne audyty dostępów.

Dzień 1: Wejście — kompromitacja VPN

Atakujący loguje się do VPN za pomocą wycieknięcia credentials. Brak MFA pozwala na wejście. Ląduje w sieci korporacyjnej z uprawnieniami serwisowymi.

Pierwsze działania:

• Uruchomienie Cobalt Strike beacon na serwerze wewnętrznym
• Skanowanie Active Directory — identyfikacja kont uprzywilejowanych
• Pobranie hashy haseł z pamięci (mimikatz/LSASS dump)

Dlaczego SOC nie wykrył: Logowanie VPN z polskiego IP wyglądało normalnie. Brak behavioral analytics — konto serwisowe nigdy wcześniej nie skanowało AD, ale nikt tego nie monitorował.

Co mogło to powstrzymać: MFA na VPN, monitoring nietypowych zachowań kont serwisowych, EDR na serwerach.

Dzień 2-5: Lateral movement w IT

Atakujący eskaluje uprawnienia:

• Kerberoasting — cracking hash konta z uprawnieniami Domain Admin
• Logowanie do kolejnych serwerów: file server, backup server, serwer historian
• Identyfikacja topologii sieci — odnajduje sieć 10.20.x.x (OT) obok sieci IT 10.10.x.x
• Identyfikacja stacji inżynierskich (dual-homed: 10.10.x.x i 10.20.x.x)

Kluczowe odkrycie atakującego: Historian serwer (Siemens WinCC OA) ma interfejs w IT (10.10.50.10) i OT (10.20.50.10). Żadnego firewalla między nimi.

Co mogło to powstrzymać: Segmentacja IT/OT z firewallem, DMZ dla historian serwera, monitoring lateral movement, PAM (Privileged Access Management).

Dzień 6: Przeskok IT → OT

Atakujący wykorzystuje dual-homed historian serwer jako mostek:

1. RDP do historian serwera (konto Domain Admin)
2. Z historian serwera — RDP do stacji inżynierskiej w sieci OT
3. Na stacji inżynierskiej: TIA Portal z otwartymi projektami S7-1500

Teraz atakujący ma dostęp do:

• 3 stacji inżynierskich ze sterowaniem wszystkimi liniami
• Systemu SCADA WinCC — wizualizacja i sterowanie procesami
• 24 sterowników PLC Siemens S7-1500

Alarm, który nie zadziałał: Logowanie do stacji inżynierskiej nastąpiło o 2:30 w nocy, poza godzinami pracy inżynierów. Ale nikt nie monitorował godzin logowania w sieci OT.

Co mogło to powstrzymać: Firewall między IT i OT, jump server zamiast dual-homed historian, monitoring logowań do stacji OT, alerty na logowania poza godzinami.

Dzień 7: Exfiltracja danych

Przed uruchomieniem ransomware, grupa wykrada dane:

• Projekty TIA Portal (IP firmy — programy sterowników)
• Receptury i parametry produkcji z MES
• Dane klientów i kontrakty z SAP
• Dokumentacja techniczna z file servera

Dane transferowane przez szyfrowany tunel do zewnętrznego serwera. ~180 GB w ciągu 12 godzin.

Co mogło to powstrzymać: DLP (Data Loss Prevention), monitoring anomalii w ruchu wychodzącym, ograniczenie ruchu outbound z sieci OT.

Dzień 8 (piątek, 22:00): Atak — uruchomienie ransomware

Atakujący wybiera piątkową noc — minimalny personel, maksymalny czas przed wykryciem.

W sieci IT (22:00-22:30):

• Ransomware uruchomiony z Domain Controller
• Zaszyfrowane: file server, backup server (backupy online!), serwery aplikacyjne
• SAP ERP niedostępny

W sieci OT (22:30-23:00):

• Ransomware rozprzestrzenia się przez historian serwer
• Zaszyfrowane: stacje inżynierskie, serwer MES, stacje HMI operatorskie
• Sterowniki PLC nie zaszyfrowane (S7-1500 pracują na własnym firmware) — ale utracona warstwa wizualizacji i zarządzania

Efekt na produkcji (23:00):

• Operatorzy tracą widok na proces — ekrany HMI czarne
• Linia 1 (wtryskarka): PLC kontynuuje ostatni cykl, ale bez HMI operator nie wie co się dzieje
• Linia 2 (montaż): robotyka zatrzymuje się po utracie komunikacji z MES
• Linia 3 (testowanie): system jakości offline — produkty nie mogą przejść testów

Operator zmianowy o 23:15 widzi czarne ekrany, próbuje restart — system żąda okupu. Dzwoni do kierownika.

Dzień 9-11: Zarządzanie kryzysowe

Sobota rano

• Zarząd poinformowany o incydencie
• Fizyczne odcięcie kabli IT od OT (powinno być wcześniej!)
• Wezwanie firmy IR (incident response)
• Kontakt z CSIRT NASK (obowiązek NIS2 — 24h)

Bilans szkód

• 3 linie produkcyjne zatrzymane — brak HMI, MES, systemu jakości
• SAP ERP niedostępny — brak możliwości realizacji zamówień
• Backupy online zaszyfrowane — brak offline backupów konfiguracji PLC
• Dane wykradzione — groźba publikacji (double extortion)

Żądanie okupu

• 2,5 mln EUR w Bitcoin
• Deadline: 7 dni, potem publikacja danych i podwojenie kwoty

Dzień 12-25: Odbudowa

Co trwało najdłużej?

1. Odtworzenie stacji inżynierskich (3 dni) — reinstalacja Windows, TIA Portal, kalibracja
2. Weryfikacja integralności PLC (5 dni) — czy atakujący zmodyfikował programy sterowników? Brak golden config baseline = porównanie niemożliwe
3. Odtworzenie MES i historian (4 dni) — utrata danych produkcyjnych z ostatniego miesiąca
4. Weryfikacja SAP (7 dni) — spójność danych, rekoncyliacja z fizycznym stanem magazynów

Koszty

• Przestój produkcji: 14 dni × 1,2 mln PLN/dzień = 16,8 mln PLN
• Kary kontraktowe: opóźnienia dostaw do OEM = 3,2 mln PLN
• Koszty IR i odbudowy: 1,8 mln PLN
• Utracone zamówienia: klienci przeszli do konkurencji = 5+ mln PLN
• Kara NIS2 (potencjalna): do 28 mln PLN (1,4% obrotu)
• RAZEM: 26,8+ mln PLN (bez kary NIS2)

Firma nie zapłaciła okupu (2,5 mln EUR = ~10,5 mln PLN). Dane zostały opublikowane.

Lekcje i rekomendacje

Co by zapobiegło atakowi?

1. MFA na VPN — atakujący nie wszedłby do sieci (koszt: minimalny)
2. Segmentacja IT/OT z DMZ — historian serwer w DMZ, nie dual-homed
3. SOC z monitoringiem OT — wykrycie lateral movement i logowania o 2:30

Co by ograniczyło szkody?

4. Offline backupy konfiguracji PLC i golden config baseline — szybkie odtworzenie
5. Plan IR dla OT — koordynacja odcięcia IT/OT bez dodatkowych szkód
6. Segmentacja wewnątrz OT — ransomware nie rozpropakowałby się na wszystkie linie

Co wdrożyć teraz?

7. Audyt bezpieczeństwa OT — poznanie aktualnego stanu
8. Eliminacja dual-homed urządzeń — quick win
9. MFA na wszystkich dostępach zdalnych — quick win
10. Offline backup konfiguracji PLC — quick win

Ten scenariusz nie musi stać się Twoją rzeczywistością. Umów audyt bezpieczeństwa OT — zidentyfikujemy luki zanim zrobią to atakujący.

---

Cyberbezpieczeństwo w Twojej branży

Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:

• Cyberbezpieczeństwo dla branży: Przemysł i produkcja

---

Tematy powiązane

Zobacz również:

• Kalkulator wyceny audytu bezpieczeństwa