A hackerek nem kábeleket vágnak, hanem a vezérlés támadják. Ahol SCADA-t használnak, ott baj lehet.

A Stuxnet megjelenése óta tudjuk, mennyire kiszolgáltatottak a kritikus infrastruktúrák a hackertámadásoknak. A féreg 2010-es napvilágra kerülése után rengeteget foglalkoztak a problémával, aztán ahogy lenni szokott, a jobbító lendület idővel alábbhagyott. Pedig már akkor is elsősorban nem a féreg működésének természete volt a legfőbb téma, hanem az ipari vezérlő rendszerek támadhatósága. Az ún. SCADA (Supervisory Control And Data Acquisition) rendszereket – végső soron a Stuxnet is ezen keresztül támadt – ugyanis nagyon széles körben alkalmazzák. A közlekedésben (légi, vasúti) éppúgy, mint az energiahálózatok, erőművek vezérlésénél.

Az ukrán eset miatt ismét forró téma

Amerikai kutatók már 2007-ben bemutatták, hogy a vezérlésen keresztül milyen brutális károkat lehet okozni az energiaellátásban. A már legendássá vált Aurora Generator Test segítségével demonstrálták, hogy távolról túlvezérléssel fel lehet robbantani egy generátor. Azóta a helyzet még kritikusabbá vált, hiszen a kritikus infrastruktúrák – pl. az elektromos, a gáz- és a vízhálózat – vezérlése sokkal összetettebbé vált, nem kis részben informatika térhódításának.

Amikor tavaly karácsony előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat okozott, ismét a figyelem középpontjába kerültek az ipari vezérlőrendszerek. Az gyorsan kiderült, hogy az ukrajnai incidenst egy BlackEnergy nevű program okozta.

Az ESET kutatói már akkor észrevették – írta az incidensről készített összefoglalójában a Biztonságportál –, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak. Azt már ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy egy KillDisk nevű trójait juttasson az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített.

Bár összeesküvés-elméletek születtek szép számmal, még egyelőre azt sem sikerült egyértelműen kideríteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e.

De mi az a BlackEnergy?

Röviden: egy gyorsan fejlődő malware, ami kiválóan alkalmas APT (Advanced Persistent Threat) típusú támadások végrehajtására.

Hosszabban: elsősorban Office dokumentumokba ágyazott makrók keresztül fertőző károkozó, amely a SCADA típusú ipari vezérlőrendszereket használó vállalatokra specializálódott. Jellemzően az infrastruktúraüzemeltetők (víz-, gáz- és áramszolgáltatók) is SCADA-t használnak, mivel támogatja a nagy skálázhatósági igényt, és jól kezeli a földrajzilag kiterjedt rendszereket.

A legmegdöbbentőbb az, hogy a BlackEnergy variánsai egy nagyon régi módszerrel, az Office dokumetumok makróit kihasználva képesek sikeres támadásokra. (A Sophos már 2014-ben arra figyelmeztetett, hogy ismét szaporodnak a makrovírusok, mert egyszerű Visual Basic kódot írni, és az ilyen programok rugalmasabbak is, mint az exploitok.)

Word, Excel és PowerPoint állományokon keresztül is képesek fertőzni, a belső rendszerekbe pedig általában elektronikus levelek mellékleteként jutnak be. Hiába figyelmeztet az Office alapbeállításban is, ha egy dokumentum makrók futtatását kéri, a felhasználók egy része automatikusan engedélyezi ilyenkor a makrókat.

A károkozó azonban más módszert is használhat: speciálisan összeállított fájlokkal aknázza ki az Office különböző sérülékenységeit, köztük olyat is, amit a Microsoft másfél éve befoltozott.

Fejlődőképes, és kevesen ismerik

Aggodalomra ad okot az is, hogy a BlackEnergy folyamatosan fejlődik. Legutóbbi variánsát január 19-én szúrta ki egy online biztonsági szolgáltatás. Ez egy vba_macro.exe fájlt helyez el a támadott számítógépen a makrók segítségével. Az .exe azonban nem a BlackEnergy kódját tartalmazza, csupán abban segít, hogy a malware-t később segítsen észrevétlenül bejuttatni a reóndszerbe. Erről a variánsról az is kiderült, hogy a legelterjedtebb víruskeresők is meglehetősen rossz hatásfokkal ismerik fel.

A kutatók szerint a BlackEnergy sikere elsősorban a munkatársak figyelmetlenségén, gondatlanságán múlik, mivel kritikus környezetekben kicsi a valószínűsége annak, hogy egy 2014-ben kiadott biztonsági javítás ne legyen telepítve. Összességében az sem megnyugtató, hogy a kőkorszaki módszerek ennyire hatásosak a védelmi eszközök garmadájával felvértezett rendszerekkel szemben.

Biztonság

Nem tudjuk és nem is nagyon akarjuk használni az AI PC-t

Mindez egy Intel által rendelt nemzetközi kutatás eredményeiből olvasható ki. Az eladásban érdekelt csipgyártó összefoglalója azért igyekezett a potenciális pozitívumokra koncentrálni.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.