A hackerek nem kábeleket vágnak, hanem a vezérlés támadják. Ahol SCADA-t használnak, ott baj lehet.

A Stuxnet megjelenése óta tudjuk, mennyire kiszolgáltatottak a kritikus infrastruktúrák a hackertámadásoknak. A féreg 2010-es napvilágra kerülése után rengeteget foglalkoztak a problémával, aztán ahogy lenni szokott, a jobbító lendület idővel alábbhagyott. Pedig már akkor is elsősorban nem a féreg működésének természete volt a legfőbb téma, hanem az ipari vezérlő rendszerek támadhatósága. Az ún. SCADA (Supervisory Control And Data Acquisition) rendszereket – végső soron a Stuxnet is ezen keresztül támadt – ugyanis nagyon széles körben alkalmazzák. A közlekedésben (légi, vasúti) éppúgy, mint az energiahálózatok, erőművek vezérlésénél.

Az ukrán eset miatt ismét forró téma

Amerikai kutatók már 2007-ben bemutatták, hogy a vezérlésen keresztül milyen brutális károkat lehet okozni az energiaellátásban. A már legendássá vált Aurora Generator Test segítségével demonstrálták, hogy távolról túlvezérléssel fel lehet robbantani egy generátor. Azóta a helyzet még kritikusabbá vált, hiszen a kritikus infrastruktúrák – pl. az elektromos, a gáz- és a vízhálózat – vezérlése sokkal összetettebbé vált, nem kis részben informatika térhódításának.

Amikor tavaly karácsony előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat okozott, ismét a figyelem középpontjába kerültek az ipari vezérlőrendszerek. Az gyorsan kiderült, hogy az ukrajnai incidenst egy BlackEnergy nevű program okozta.

Az ESET kutatói már akkor észrevették – írta az incidensről készített összefoglalójában a Biztonságportál –, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak. Azt már ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy egy KillDisk nevű trójait juttasson az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített.

Bár összeesküvés-elméletek születtek szép számmal, még egyelőre azt sem sikerült egyértelműen kideríteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e.

De mi az a BlackEnergy?

Röviden: egy gyorsan fejlődő malware, ami kiválóan alkalmas APT (Advanced Persistent Threat) típusú támadások végrehajtására.

Hosszabban: elsősorban Office dokumentumokba ágyazott makrók keresztül fertőző károkozó, amely a SCADA típusú ipari vezérlőrendszereket használó vállalatokra specializálódott. Jellemzően az infrastruktúraüzemeltetők (víz-, gáz- és áramszolgáltatók) is SCADA-t használnak, mivel támogatja a nagy skálázhatósági igényt, és jól kezeli a földrajzilag kiterjedt rendszereket.

A legmegdöbbentőbb az, hogy a BlackEnergy variánsai egy nagyon régi módszerrel, az Office dokumetumok makróit kihasználva képesek sikeres támadásokra. (A Sophos már 2014-ben arra figyelmeztetett, hogy ismét szaporodnak a makrovírusok, mert egyszerű Visual Basic kódot írni, és az ilyen programok rugalmasabbak is, mint az exploitok.)

Word, Excel és PowerPoint állományokon keresztül is képesek fertőzni, a belső rendszerekbe pedig általában elektronikus levelek mellékleteként jutnak be. Hiába figyelmeztet az Office alapbeállításban is, ha egy dokumentum makrók futtatását kéri, a felhasználók egy része automatikusan engedélyezi ilyenkor a makrókat.

A károkozó azonban más módszert is használhat: speciálisan összeállított fájlokkal aknázza ki az Office különböző sérülékenységeit, köztük olyat is, amit a Microsoft másfél éve befoltozott.

Fejlődőképes, és kevesen ismerik

Aggodalomra ad okot az is, hogy a BlackEnergy folyamatosan fejlődik. Legutóbbi variánsát január 19-én szúrta ki egy online biztonsági szolgáltatás. Ez egy vba_macro.exe fájlt helyez el a támadott számítógépen a makrók segítségével. Az .exe azonban nem a BlackEnergy kódját tartalmazza, csupán abban segít, hogy a malware-t később segítsen észrevétlenül bejuttatni a reóndszerbe. Erről a variánsról az is kiderült, hogy a legelterjedtebb víruskeresők is meglehetősen rossz hatásfokkal ismerik fel.

A kutatók szerint a BlackEnergy sikere elsősorban a munkatársak figyelmetlenségén, gondatlanságán múlik, mivel kritikus környezetekben kicsi a valószínűsége annak, hogy egy 2014-ben kiadott biztonsági javítás ne legyen telepítve. Összességében az sem megnyugtató, hogy a kőkorszaki módszerek ennyire hatásosak a védelmi eszközök garmadájával felvértezett rendszerekkel szemben.

Biztonság

Venne Windows 10-es okosórát?

A Microsoft újra bepróbálkozik a viselhető elektronikai piacon, ezúttal kicsit másképp, mint ahol azt tavaly ősszel abbahagyta.
 
Korábban az ipari vezérlőrendszerek zártan működtek, és ezáltal számos hálózatbiztonsági kockázattól mentesültek. Mára azonban nyitottabbá váltak, ami új támadási felületeket teremtett.

a melléklet támogatója a Balasys

Hirdetés

Monitoringra épülő SCADA-védelem

Ahogy az ipari rendszerek bekapcsolódnak a vállalati hálózatok vérkeringésébe, úgy válik mind sürgetőbbé a védelmük megerősítése.

A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az SAP megnyerte az első csatát: elsőfokú döntés született a közvetett szoftver felhasználás licencdíj vonzatairól. Dr. Andriska Zsófia (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.