A hackerek nem kábeleket vágnak, hanem a vezérlés támadják. Ahol SCADA-t használnak, ott baj lehet.

A Stuxnet megjelenése óta tudjuk, mennyire kiszolgáltatottak a kritikus infrastruktúrák a hackertámadásoknak. A féreg 2010-es napvilágra kerülése után rengeteget foglalkoztak a problémával, aztán ahogy lenni szokott, a jobbító lendület idővel alábbhagyott. Pedig már akkor is elsősorban nem a féreg működésének természete volt a legfőbb téma, hanem az ipari vezérlő rendszerek támadhatósága. Az ún. SCADA (Supervisory Control And Data Acquisition) rendszereket – végső soron a Stuxnet is ezen keresztül támadt – ugyanis nagyon széles körben alkalmazzák. A közlekedésben (légi, vasúti) éppúgy, mint az energiahálózatok, erőművek vezérlésénél.

Az ukrán eset miatt ismét forró téma

Amerikai kutatók már 2007-ben bemutatták, hogy a vezérlésen keresztül milyen brutális károkat lehet okozni az energiaellátásban. A már legendássá vált Aurora Generator Test segítségével demonstrálták, hogy távolról túlvezérléssel fel lehet robbantani egy generátor. Azóta a helyzet még kritikusabbá vált, hiszen a kritikus infrastruktúrák – pl. az elektromos, a gáz- és a vízhálózat – vezérlése sokkal összetettebbé vált, nem kis részben informatika térhódításának.

Amikor tavaly karácsony előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat okozott, ismét a figyelem középpontjába kerültek az ipari vezérlőrendszerek. Az gyorsan kiderült, hogy az ukrajnai incidenst egy BlackEnergy nevű program okozta.

Az ESET kutatói már akkor észrevették – írta az incidensről készített összefoglalójában a Biztonságportál –, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak. Azt már ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy egy KillDisk nevű trójait juttasson az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített.

Bár összeesküvés-elméletek születtek szép számmal, még egyelőre azt sem sikerült egyértelműen kideríteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e.

De mi az a BlackEnergy?

Röviden: egy gyorsan fejlődő malware, ami kiválóan alkalmas APT (Advanced Persistent Threat) típusú támadások végrehajtására.

Hosszabban: elsősorban Office dokumentumokba ágyazott makrók keresztül fertőző károkozó, amely a SCADA típusú ipari vezérlőrendszereket használó vállalatokra specializálódott. Jellemzően az infrastruktúraüzemeltetők (víz-, gáz- és áramszolgáltatók) is SCADA-t használnak, mivel támogatja a nagy skálázhatósági igényt, és jól kezeli a földrajzilag kiterjedt rendszereket.

A legmegdöbbentőbb az, hogy a BlackEnergy variánsai egy nagyon régi módszerrel, az Office dokumetumok makróit kihasználva képesek sikeres támadásokra. (A Sophos már 2014-ben arra figyelmeztetett, hogy ismét szaporodnak a makrovírusok, mert egyszerű Visual Basic kódot írni, és az ilyen programok rugalmasabbak is, mint az exploitok.)

Word, Excel és PowerPoint állományokon keresztül is képesek fertőzni, a belső rendszerekbe pedig általában elektronikus levelek mellékleteként jutnak be. Hiába figyelmeztet az Office alapbeállításban is, ha egy dokumentum makrók futtatását kéri, a felhasználók egy része automatikusan engedélyezi ilyenkor a makrókat.

A károkozó azonban más módszert is használhat: speciálisan összeállított fájlokkal aknázza ki az Office különböző sérülékenységeit, köztük olyat is, amit a Microsoft másfél éve befoltozott.

Fejlődőképes, és kevesen ismerik

Aggodalomra ad okot az is, hogy a BlackEnergy folyamatosan fejlődik. Legutóbbi variánsát január 19-én szúrta ki egy online biztonsági szolgáltatás. Ez egy vba_macro.exe fájlt helyez el a támadott számítógépen a makrók segítségével. Az .exe azonban nem a BlackEnergy kódját tartalmazza, csupán abban segít, hogy a malware-t később segítsen észrevétlenül bejuttatni a reóndszerbe. Erről a variánsról az is kiderült, hogy a legelterjedtebb víruskeresők is meglehetősen rossz hatásfokkal ismerik fel.

A kutatók szerint a BlackEnergy sikere elsősorban a munkatársak figyelmetlenségén, gondatlanságán múlik, mivel kritikus környezetekben kicsi a valószínűsége annak, hogy egy 2014-ben kiadott biztonsági javítás ne legyen telepítve. Összességében az sem megnyugtató, hogy a kőkorszaki módszerek ennyire hatásosak a védelmi eszközök garmadájával felvértezett rendszerekkel szemben.

Biztonság

Tegnap fellőtték a Trump Monitort. Ha tőzsdézik, nélkülözhetetlen

Tőzsdézik? Ha jót akar magának, töltse le a Trump Monitort! Az app figyeli a republikánus elnök twitterét, és riaszt, ha egy bejegyzés várhatóan felfordulást okozna a részvénypiacon.
 
Inspiráló munkakörnyezet, kreatív szakmai kihívások és csak ezután következne a bér? Utánajártunk, mit várnak el a hazai IT-szakemberek a mai munkaerőpiacon?

a melléklet támogatója az IThon.info

Hirdetés

Iránytű az IT piac kihívásaira

Mi lehet az alternatíva az informatikus munkaerőhiány csökkentésére, ha már a telefont szinte fel sem veszik, a LinkedIn-ről pedig leiratkoznak az IT szakemberek a túlontúl sok hasonló megkeresés miatt?

A VISZ az Infotér konferencián tárgyalta ki az IT-szakma képzési és munkaerő-piaci problémáit oktatási szakértők és cégvezetők segítségével.

2 millió forinttal díjazza a VISZ a legjobb középiskolát

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.