A hackerek nem kábeleket vágnak, hanem a vezérlés támadják. Ahol SCADA-t használnak, ott baj lehet.

A Stuxnet megjelenése óta tudjuk, mennyire kiszolgáltatottak a kritikus infrastruktúrák a hackertámadásoknak. A féreg 2010-es napvilágra kerülése után rengeteget foglalkoztak a problémával, aztán ahogy lenni szokott, a jobbító lendület idővel alábbhagyott. Pedig már akkor is elsősorban nem a féreg működésének természete volt a legfőbb téma, hanem az ipari vezérlő rendszerek támadhatósága. Az ún. SCADA (Supervisory Control And Data Acquisition) rendszereket – végső soron a Stuxnet is ezen keresztül támadt – ugyanis nagyon széles körben alkalmazzák. A közlekedésben (légi, vasúti) éppúgy, mint az energiahálózatok, erőművek vezérlésénél.

Az ukrán eset miatt ismét forró téma

Amerikai kutatók már 2007-ben bemutatták, hogy a vezérlésen keresztül milyen brutális károkat lehet okozni az energiaellátásban. A már legendássá vált Aurora Generator Test segítségével demonstrálták, hogy távolról túlvezérléssel fel lehet robbantani egy generátor. Azóta a helyzet még kritikusabbá vált, hiszen a kritikus infrastruktúrák – pl. az elektromos, a gáz- és a vízhálózat – vezérlése sokkal összetettebbé vált, nem kis részben informatika térhódításának.

Amikor tavaly karácsony előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat okozott, ismét a figyelem középpontjába kerültek az ipari vezérlőrendszerek. Az gyorsan kiderült, hogy az ukrajnai incidenst egy BlackEnergy nevű program okozta.

Az ESET kutatói már akkor észrevették – írta az incidensről készített összefoglalójában a Biztonságportál –, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak. Azt már ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy egy KillDisk nevű trójait juttasson az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített.

Bár összeesküvés-elméletek születtek szép számmal, még egyelőre azt sem sikerült egyértelműen kideríteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e.

De mi az a BlackEnergy?

Röviden: egy gyorsan fejlődő malware, ami kiválóan alkalmas APT (Advanced Persistent Threat) típusú támadások végrehajtására.

Hosszabban: elsősorban Office dokumentumokba ágyazott makrók keresztül fertőző károkozó, amely a SCADA típusú ipari vezérlőrendszereket használó vállalatokra specializálódott. Jellemzően az infrastruktúraüzemeltetők (víz-, gáz- és áramszolgáltatók) is SCADA-t használnak, mivel támogatja a nagy skálázhatósági igényt, és jól kezeli a földrajzilag kiterjedt rendszereket.

A legmegdöbbentőbb az, hogy a BlackEnergy variánsai egy nagyon régi módszerrel, az Office dokumetumok makróit kihasználva képesek sikeres támadásokra. (A Sophos már 2014-ben arra figyelmeztetett, hogy ismét szaporodnak a makrovírusok, mert egyszerű Visual Basic kódot írni, és az ilyen programok rugalmasabbak is, mint az exploitok.)

Word, Excel és PowerPoint állományokon keresztül is képesek fertőzni, a belső rendszerekbe pedig általában elektronikus levelek mellékleteként jutnak be. Hiába figyelmeztet az Office alapbeállításban is, ha egy dokumentum makrók futtatását kéri, a felhasználók egy része automatikusan engedélyezi ilyenkor a makrókat.

A károkozó azonban más módszert is használhat: speciálisan összeállított fájlokkal aknázza ki az Office különböző sérülékenységeit, köztük olyat is, amit a Microsoft másfél éve befoltozott.

Fejlődőképes, és kevesen ismerik

Aggodalomra ad okot az is, hogy a BlackEnergy folyamatosan fejlődik. Legutóbbi variánsát január 19-én szúrta ki egy online biztonsági szolgáltatás. Ez egy vba_macro.exe fájlt helyez el a támadott számítógépen a makrók segítségével. Az .exe azonban nem a BlackEnergy kódját tartalmazza, csupán abban segít, hogy a malware-t később segítsen észrevétlenül bejuttatni a reóndszerbe. Erről a variánsról az is kiderült, hogy a legelterjedtebb víruskeresők is meglehetősen rossz hatásfokkal ismerik fel.

A kutatók szerint a BlackEnergy sikere elsősorban a munkatársak figyelmetlenségén, gondatlanságán múlik, mivel kritikus környezetekben kicsi a valószínűsége annak, hogy egy 2014-ben kiadott biztonsági javítás ne legyen telepítve. Összességében az sem megnyugtató, hogy a kőkorszaki módszerek ennyire hatásosak a védelmi eszközök garmadájával felvértezett rendszerekkel szemben.

Biztonság

Összefognak a pénzügyi technológiák nagymenői

A fintech központokat tömörítő iparági szövetség lerakná az együttműködés alapjait a pénzügyi informatikai szektoron belül, és globális mozgásteret biztosítana a startup fejlesztőknek.
 
Hirdetés

IBM BigFix: proaktív végpontvédelem a nulladik napi támadások ellen is

Utólagos reagálás helyett megelőző védelmet, kockázatelemzést és patch-menedzsmentet kínál valós időben az IBM végpontvédelmi megoldása.

Rengeteg a szenzor és a mérési információ, melyek összegzése és értelmezése megoldandó feladatként tornyosul az adatközpontot üzemeltetők fölé.
Minden eddiginél több szoftvergyártói audit vár rájuk. Az IPR-Insights felmérése a magyar piacról.
A két új csúcsmodell nem változtat, legfeljebb csiszol a bevált recepteken.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.