A hackerek nem kábeleket vágnak, hanem a vezérlés támadják. Ahol SCADA-t használnak, ott baj lehet.

A Stuxnet megjelenése óta tudjuk, mennyire kiszolgáltatottak a kritikus infrastruktúrák a hackertámadásoknak. A féreg 2010-es napvilágra kerülése után rengeteget foglalkoztak a problémával, aztán ahogy lenni szokott, a jobbító lendület idővel alábbhagyott. Pedig már akkor is elsősorban nem a féreg működésének természete volt a legfőbb téma, hanem az ipari vezérlő rendszerek támadhatósága. Az ún. SCADA (Supervisory Control And Data Acquisition) rendszereket – végső soron a Stuxnet is ezen keresztül támadt – ugyanis nagyon széles körben alkalmazzák. A közlekedésben (légi, vasúti) éppúgy, mint az energiahálózatok, erőművek vezérlésénél.

Az ukrán eset miatt ismét forró téma

Amerikai kutatók már 2007-ben bemutatták, hogy a vezérlésen keresztül milyen brutális károkat lehet okozni az energiaellátásban. A már legendássá vált Aurora Generator Test segítségével demonstrálták, hogy távolról túlvezérléssel fel lehet robbantani egy generátor. Azóta a helyzet még kritikusabbá vált, hiszen a kritikus infrastruktúrák – pl. az elektromos, a gáz- és a vízhálózat – vezérlése sokkal összetettebbé vált, nem kis részben informatika térhódításának.

Amikor tavaly karácsony előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat okozott, ismét a figyelem középpontjába kerültek az ipari vezérlőrendszerek. Az gyorsan kiderült, hogy az ukrajnai incidenst egy BlackEnergy nevű program okozta.

Az ESET kutatói már akkor észrevették – írta az incidensről készített összefoglalójában a Biztonságportál –, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak. Azt már ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy egy KillDisk nevű trójait juttasson az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített.

Bár összeesküvés-elméletek születtek szép számmal, még egyelőre azt sem sikerült egyértelműen kideríteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e.

De mi az a BlackEnergy?

Röviden: egy gyorsan fejlődő malware, ami kiválóan alkalmas APT (Advanced Persistent Threat) típusú támadások végrehajtására.

Hosszabban: elsősorban Office dokumentumokba ágyazott makrók keresztül fertőző károkozó, amely a SCADA típusú ipari vezérlőrendszereket használó vállalatokra specializálódott. Jellemzően az infrastruktúraüzemeltetők (víz-, gáz- és áramszolgáltatók) is SCADA-t használnak, mivel támogatja a nagy skálázhatósági igényt, és jól kezeli a földrajzilag kiterjedt rendszereket.

A legmegdöbbentőbb az, hogy a BlackEnergy variánsai egy nagyon régi módszerrel, az Office dokumetumok makróit kihasználva képesek sikeres támadásokra. (A Sophos már 2014-ben arra figyelmeztetett, hogy ismét szaporodnak a makrovírusok, mert egyszerű Visual Basic kódot írni, és az ilyen programok rugalmasabbak is, mint az exploitok.)

Word, Excel és PowerPoint állományokon keresztül is képesek fertőzni, a belső rendszerekbe pedig általában elektronikus levelek mellékleteként jutnak be. Hiába figyelmeztet az Office alapbeállításban is, ha egy dokumentum makrók futtatását kéri, a felhasználók egy része automatikusan engedélyezi ilyenkor a makrókat.

A károkozó azonban más módszert is használhat: speciálisan összeállított fájlokkal aknázza ki az Office különböző sérülékenységeit, köztük olyat is, amit a Microsoft másfél éve befoltozott.

Fejlődőképes, és kevesen ismerik

Aggodalomra ad okot az is, hogy a BlackEnergy folyamatosan fejlődik. Legutóbbi variánsát január 19-én szúrta ki egy online biztonsági szolgáltatás. Ez egy vba_macro.exe fájlt helyez el a támadott számítógépen a makrók segítségével. Az .exe azonban nem a BlackEnergy kódját tartalmazza, csupán abban segít, hogy a malware-t később segítsen észrevétlenül bejuttatni a reóndszerbe. Erről a variánsról az is kiderült, hogy a legelterjedtebb víruskeresők is meglehetősen rossz hatásfokkal ismerik fel.

A kutatók szerint a BlackEnergy sikere elsősorban a munkatársak figyelmetlenségén, gondatlanságán múlik, mivel kritikus környezetekben kicsi a valószínűsége annak, hogy egy 2014-ben kiadott biztonsági javítás ne legyen telepítve. Összességében az sem megnyugtató, hogy a kőkorszaki módszerek ennyire hatásosak a védelmi eszközök garmadájával felvértezett rendszerekkel szemben.

Biztonság

Globálisan adná ingyen a netet a Google

A cég egy éve kezdte kiépíteni az indiai vasútállomásokon a szabadon hozzáférhető vezeték nélküli internetet. Ezt a modellt terjesztenék ki világszerte.
 
Hirdetés

Mindent a legújabb biztonsági fenyegetésekről a lehető leggyorsabban

A felhőalapú IBM XForce Exchange lehetővé teszi a legfrissebb globális biztonsági fenyegetések megbízható kutatását és a témában jártas szakértőkkel való konzultációt.

Nincsen végtelen kapacitás, még a korábban betölthetetlennek hitt tárterületek is előbb-utóbb szűknek bizonyulnak. A bővítés pedig komoly kihívásokat rejt magában.

a melléklet támogatója a QNAP

Hirdetés

QNAP Hybrid Backup Sync – így védjük adatainkat

Az adatmentés és –helyreállítás különösen fontos feladat a NAS-okon tárolt adatok biztonsága tekintetében. Erre a kihívásra kínál hatékony megoldást a QNAP Hybrid Backup Sync, mellyel különböző felhőszolgáltatók menedzselhetők egy helyen, titkosított információkezelés mellett.

Azt hiszi, az üzlet tévedésből ad meg tegnapi teljesítési határidőt az IT-nak? Sajnos ön az, aki téved, nem az üzleti részleg. Takács Tibor (MFB) írása.

A zseniket is könnyű integrálni, ha megkérdezzük őket

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Ünnepel a Linux-közösség. Linus Torvalds operációs rendszere negyedszázados lett, és 25 év alatt megváltoztatta a világot. Szentiványi Gábor (ULX) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.