Amerikai, ázsiai és a Csendes-óceán térségében működő elektromos hálózzatok ICS (Industrial Control Systems) rendszerei elleni támadásokat fedezett fel az ipari rendszerek biztonságára specializálódott Dragos. A cég blogján tette közzé kutatása eredményeit.
Az ICS-ek különbőző hardverek és szoftverekből állnak össze. Elsődleges feladatuk az üzembiztonság biztosítása. Például elindítanak egy előre programozott mechanizmust, ha gázhálózatnál a gáz nyomása elér egy kritikus szintet, vagy automatikusan beindítják a hűtési folyamatot, ha egy erőműben a reaktor hőmérséklete egy meghatározott küszöbérték fölé emelkedik.
Sikertelen volt, mégis riasztó
A Dragos szakértői szerint a támadás nem volt sikeres, pontosabban egyik szolgáltató rendszerében sem detektáltak illegális behatolást. Ugyanakkor a kísérlet mégis riasztó, mivel a hekkerek kifejezetten a szolgáltatók biztonsági folyamatait támadták.
A tavaly év vége óta zajló támadási kísérletek csak az USA-ban mintegy húsz szolgáltatót érintettek. A hekkerek többféle módszert ötvöztek. Az egyik az ún. credential stuffing vagy más néven account takeover (ATO). Ennek során a támadók valamilyen alkalmazás, szolgáltatás meghekkelésével szerezik meg felhasználók jelszavát, amit a későbbiekben, a célzott támadás során használnak fel. A másik pedig a hálózatszkennelés, melynek során a szolgáltatók hálózatára kapcsolódó számítógépekről, routerekről és más eszközökről készítenek egy térképet, valamint felderítik azokat a portokat, melyeken keresztül az eszközök kommunikálnak. Ezek mind arra utalnak, hogy módszeres felkészülés történt egy későbbi támadásra.
A kutatók a hekkertevékenységet egy 2017-ben azonosított, Xenotime-ként emlegetett csoporthoz kötik. Mint írják, a csoport tevékenysége szélesedett azzal, hogy támadási célpontjai közé felkerült a konkrét üzemek mellett a kritikus infrastruktúra is. Míg korábban elsősorban az olajipari vállalatok voltak a célkeresztjében, most egy attól sok szempontból eltérő környezetű közüzemi szolgáltatás rendszerét támadta.
Bár a csoport aktivitását sikerült azonosítani, a Dragos szerint a veszély ezzel nem múlt el, hiszen a hekkercsoport egyelőre csak olyan információkat gyűjtött, melyek egy későbbi, akár fizikai károkozást is lehetővé tevő támadási művelethez kellhetnek.
Két éve is hasonló történt
A Xenotime 2017-ben egy szaúd-arábiai olajfinomító ellen hajtottak végre sikeres támadást. Mint azt a Bitport is megírta, ott a Schneider Electric Triconex iparbiztonsági rendszerét játszották ki, ráadásul úgy, hogy nem a Triconexben kerestek sérülékenységet. A Triconex egy ún. SIS (Safety Instrumented Systems), amit többek között nukleáris, gáz- és olajalapú erőművekben is használnak.
A szaúdi esetnél az elemzések szerint egyébként nagy mértékben hozzájárult a támadás sikeréhez az, hogy a biztonságért felelős SIS-t összekapcsolták a finomító folyamatirányítási rendszerével, azaz az ICS-sel.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak