Zsarolóvírussal támadták az egyik brit víz- és szennyvízmű vállalatot, ugyanakkor egy ideig nem volt az sem világos, hogy pontosan melyiket. A zavart az okozta, hogy a Cl0p néven futó támadó csoport saját felületén azt állította, hogy a 15 millió ember vízellátását biztosító Thames Water nevű vállalat rendszereibe tört be, de mindezt olyan mintadokumentumokkal bizonyította, melyek a South Staffordshire nevű vízműszolgáltatóhoz köthetők. Utóbbi cég két leányvállalatával összesen 1,6 millió lakost és több tízezer vállalkozást szolgál ki. De a hekkerek oldalán összekeveredtek a cégek más adatai is (pl. az egyik bevétele a másik címével és telefonszámával jelent meg).

A helyzetet végül az érintettek tisztázták: a Thames Water cáfolta, míg a South Staffordshire megerősítette, hogy kiberbűnözők célpontjává vált, írja a SecurityWeek. A megtámadott vállalat kevés részletet közölt, közleményében azt állította, bár az informatikai hálózat működésében zavar keletkezett, de a biztonságos vízellátásban nem.

Reális veszély vagy vaklárma?

A hekkerek ezzel szemben azt állították, hogy hozzáférést szereztek a vállalat teljes informatikai rendszeréhez, köztük ahhoz a SCADA (Supervisory Control And Data Acquisition) rendszerhez is, amely a bűnözők szerint a vízben lévő vegyi anyagok mennyiségét szabályozza. A rendszer fölötti irányítás megszerzésével akár a vezetékes ivóvíz kémiai összetételét is módosíthatnák, de őket nem az vezérli, hogy kárt okozzanak az embereknek, írták fenyegető üzenetükben.

Annak bizonyítására, hogy milyen mélyen hatoltak be a South Staffordshire informatikai infrastruktúrájába, olyan képernyőképeket tettek közzé, amelyek közül kettő valóban a vállalat ember-gép interfész (Human Machine Interface, HMI) rendszeréről készült. A képeken olyan felületek láthatók, amelyek potenciálisan lehetővé tennék, hogy valaki manipulálja az ipari vezérlőrendszereket.

Egy kiberbiztonsági cég, a Radiflow OT vezetője, Ilan Barda megerősítette a SecurityWeeknek, hogy a képernyőképek valódiak. Ráadásul vannak köztük olyan felületek, melyeken a víztisztítási folyamat során használt vegyi anyagok adagolása módosítható.

Az egyik legnagyobb veszély, hogy az ilyen módosítások hatása nem lineáris. Már kisebb változtatások is elvihetik a víz pH-ját a biztonsági tartományból. A megfelelő pH fenntartásához ezért egy valós idejű irányított szabályozási kört használnak, amelyet a PLC-ben (Programmable Logic Controller) valósítanak meg. Amikor a HMI-n keresztül módosításokat hajtanak végre, az a PLC szintjén "észlelődik", és veszély esetén riaszt. Így nem valószínű, hogy a módosítás kárt okozna a kimeneti vízellátásban, vélte a biztonsági szakember.

De mielőtt mindenki megnyugodva a vizespohara után nyúlna... Barda mindehhez azt is hozzátette: ha valaki bejutott a belső OT-rendszerbe (Operation Technology, a tényleges "gyártási" folyamatok oldalán lévő rendszer), akár olyan szintekre is eljuttathat egy rejtett rosszindulatú programot, amivel valódi kárt okozhat. Éppen ezért ebben az esetben is hiába maradt működőképes a szolgáltató rendszere, A-tól Z-ig át kell vizsgálni mindent, hogy nincs-e elrejtve valahol egy ilyen később aktiválható bomba.

A kiberbűnözők egyébként azt állítják, hogy hónapokig jelen voltak a vízmű vállalat rendszereiben, és ezalatt mintegy 5 terabájt információt loptak el. A vízmű állítólag felajánlotta, hogy fizet, de az összeg túl alacsony volt, ezért nem született megállapodás.

A Cl0p csapata nem kezdő

A Cl0p több száz vállalatot támadott meg világszerte, és áldozataik között magas arányban vannak ipari vállalatok. A hatóságok régóta nyomoznak a bűnözői csoport után, és már több embert letartóztattak, akiket azzal vádoltak, hogy szerepet játszottak a csoport egyes műveleteiben. Ezeknek a letartóztatásoknak azonban egyelőre nincs érzékelhető hatása a Cl0p aktivitására.

Mint a SecurityWeek írja, egyre gyakoribb, hogy a vízügyi ágazat szereplőit támadják kiberbűnözők. Az első számú célpontok a SCADA-rendszerek, melyekre a legnagyobb veszélyt azok jelentik, akik tisztában vannak annak működésével.