Amerikai, ázsiai és a Csendes-óceán térségében működő elektromos hálózzatok ICS (Industrial Control Systems) rendszerei elleni támadásokat fedezett fel az ipari rendszerek biztonságára specializálódott Dragos. A cég blogján tette közzé kutatása eredményeit.

Az ICS-ek különbőző hardverek és szoftverekből állnak össze. Elsődleges feladatuk az üzembiztonság biztosítása. Például elindítanak egy előre programozott mechanizmust, ha gázhálózatnál a gáz nyomása elér egy kritikus szintet, vagy automatikusan beindítják a hűtési folyamatot, ha egy erőműben a reaktor hőmérséklete egy meghatározott küszöbérték fölé emelkedik.

Sikertelen volt, mégis riasztó

A Dragos szakértői szerint a támadás nem volt sikeres, pontosabban egyik szolgáltató rendszerében sem detektáltak illegális behatolást. Ugyanakkor a kísérlet mégis riasztó, mivel a hekkerek kifejezetten a szolgáltatók biztonsági folyamatait támadták.

A tavaly év vége óta zajló támadási kísérletek csak az USA-ban mintegy húsz szolgáltatót érintettek. A hekkerek többféle módszert ötvöztek. Az egyik az ún. credential stuffing vagy más néven account takeover (ATO). Ennek során a támadók valamilyen alkalmazás, szolgáltatás meghekkelésével szerezik meg felhasználók jelszavát, amit a későbbiekben, a célzott támadás során használnak fel. A másik pedig a hálózatszkennelés, melynek során a szolgáltatók hálózatára kapcsolódó számítógépekről, routerekről és más eszközökről készítenek egy térképet, valamint felderítik azokat a portokat, melyeken keresztül az eszközök kommunikálnak. Ezek mind arra utalnak, hogy módszeres felkészülés történt egy későbbi támadásra.

A kutatók a hekkertevékenységet egy 2017-ben azonosított, Xenotime-ként emlegetett csoporthoz kötik. Mint írják, a csoport tevékenysége szélesedett azzal, hogy támadási célpontjai közé felkerült a konkrét üzemek mellett a kritikus infrastruktúra is. Míg korábban elsősorban az olajipari vállalatok voltak a célkeresztjében, most egy attól sok szempontból eltérő környezetű közüzemi szolgáltatás rendszerét támadta.

Bár a csoport aktivitását sikerült azonosítani, a Dragos szerint a veszély ezzel nem múlt el, hiszen a hekkercsoport egyelőre csak olyan információkat gyűjtött, melyek egy későbbi, akár fizikai károkozást is lehetővé tevő támadási művelethez kellhetnek.

Két éve is hasonló történt

A Xenotime 2017-ben egy szaúd-arábiai olajfinomító ellen hajtottak végre sikeres támadást. Mint azt a Bitport is megírta, ott a Schneider Electric Triconex iparbiztonsági rendszerét játszották ki, ráadásul úgy, hogy nem a Triconexben kerestek sérülékenységet. A Triconex egy ún. SIS (Safety Instrumented Systems), amit többek között nukleáris, gáz- és olajalapú erőművekben is használnak.

A szaúdi esetnél az elemzések szerint egyébként nagy mértékben hozzájárult a támadás sikeréhez az, hogy a biztonságért felelős SIS-t összekapcsolták a finomító folyamatirányítási rendszerével, azaz az ICS-sel.