A FireEye közlése szerint a támadók a Schneider Electric fejlesztette Triconex iparbiztonsági technológiáját célozták meg. Az IT-biztonsággal foglalkozó cég állítását a Schneider is megerősítette, egyben azt is közölve, hogy értesítették Triconexet használó ügyfeleiket. Az energiaiparban – nukleáris üzemekben, gáz- és olajalapú erőművekben – széles körben használt technológia hackerek által kihasznált biztonsági hiányossága ezek szerint komoly kockázatot jelenthet az érintettek számára.

A múlt hét szerdára datált támadásról a Schneider annyit volt hajlandó elárulni, hogy az amerikai Belbiztonsági Minisztériummal együttműködve vizsgálják ki az esetet. Emellett az is kiderült, hogy a rendelkezésre álló bizonyítékok alapján nem a Triconex rendszerben vagy a programkódban van biztonsági rés. A támadás egyébként izoláltan ment végbe, más szervezeteket nem érintett.

A digitális Közel-Kelet is robbanásközeli állapotban

Sem a FireEye, sem a Schneider Electric nem kívánta pontosan megnevezni, hogy ki volt az áldozat, és azt sem, hogy melyik országban történt az incidens. Ugyanakkor egy másik, ugyancsak kiberbiztonsággal foglalkozó vállalat, a Dragos szerint a hackerek egy közel-keleti szervezetet támadtak.

A témában szintén járatos CyberX még azt is tudni véli, hogy a helyszín Szaúd-Arábia volt. Ez utóbbi egyébként azt is jelentheti, hogy a támadás hátterében Irán állhatott. Ami nem lenne annyira meglepő: IT-biztonsági szakértők között széles körben elfogadott konszenzus szerint Irán 2012 és 2017 között számos támadást intézett szaúd-arábiai hálózatok ellen a Shamoon nevű vírus felhasználásával.

Kémprogrammal mérték be a tüzérséget
Ugyanaz a hackercsoport piszkálhatott bele az ukrán katonai fejlesztésbe, amely állítólag az amerikai Demokrata Párt elleni támadásokért is felelős. Ez a következtetés abból az egyszerű okból vonható le, hogy ugyanaz a malware található meg abban az alkalmazásban is, amelyet az ukrán tüzérségnél a lőelemek feldolgozásának gyorsítására használtak.

Az applikációt még a háború előtt írta egy tüzértiszt, és az ukrajnai polgárháborúban 2014 és 2016 között a szovjet időkből származó D-30-as tarackok több perces célzási idejét volt hivatott 15 másodpercre csökkenteni. Bár az alkalmazás eredetileg nem volt publikus, vagyis nem lehetett beszerezni mondjuk a Play alkalmazás-áruházból, csak közvetlenül a fejlesztőtől, az orosz hackerek mégis sikeresen megfertőzték a malware-rel, egészen pontosan az Agent-X névvel jelölt rosszindulatú kód egyik variánsával. További részletek erre.

Visszatérve a most történtekre: jelentős lépés ez, hiszen egy ipari létesítmény biztonsági rendszerének feltörése komoly tudást igényel. Az elmúlt években azonban még az átlagos internetező is tapasztalhatta, hogy a hackerek egy részének érdeklődése kritikus fontosságú infrastruktúrák irányába fordul, így azért váratlannak nem mondanánk a történteket. Veszélyesnek annál inkább, hiszen a biztonsági rendszer kijátszásával egy létesítmény gyakorlatilag bármelyik része felett át lehet venni az ellenőrzést, ráadásul úgy, hogy az üzemeltető számára le sem esik: éppen támadás alatt van.

Galina Antova szerint vízválasztó ez a támadás. A kiberbiztonsággal foglalkozó Claroty társalapítója úgy véli, hogy a támadás sikere miatt előbb-utóbb el fognak szaporodni az ilyen jellegű betörések; a nagy szakértelemmel bíró online bűnözők utánozni fogják az incidenst más célpontok esetében. Kifinomult malware révén távolról veszik át az ellenőrzést a Schneider Electric Triconex biztonsági rendszere felett, ahogy az a cikk témájául szolgáló esetnél történt.

A vizsgálatok szerint az erőművet ért támadás során a hackerek átprogramozták a biztonsági eseményeket észlelni hivatott vezérlőket. Ezek közül néhány - az IT-biztonsági kutatók állítása alapján véletlenül - fail-safe módba kapcsolt, amivel a vezérlőkhöz köthető folyamatokat leállásra késztette. Ez egyben le is buktatta a támadókat, mivel az üzemeltető kiszúrta a rendellenes működést, közölte a FireEye vizsgálatát vezető Dan Scali.

Scali szerint egyébként a támadók még csak próbálták kiismerni magukat a rendszerben, ezért állítottak át akaratlanul pár vezérlőt. Ezzel viszont olyan információk birtokába kerülhettek, melyekkel egy következő támadás esetén már sokkal magabiztosabban, észlelhető nyomok nélkül tudnak majd behatolni a célpont hálózatba és lesznek képesek kárt okozni ott.

Sorban a harmadik

Az amerikai kormányzat és számos, magánkézben levő IT-biztonsági cég is nyilvános figyelmeztetések özönét adta ki az elmúlt években az iráni, észak-koreai, orosz és más, állami támogatással dolgozó hackerek (várható és bekövetkezett) támadásai kapcsán. Különösen a kritikus fontosságú infrastruktúrákat üzemeltető vállalatok vannak veszélyben, mivel a támadók kiemelt érdeklődést mutatnak az által működtetett rendszerekkel szemben.

A cikkünk témáját szolgáltató, Triton névre keresztelt digitális kártevő egyébként csupán a harmadik a maga nemében. Eddig mindössze két olyan malware (és változatai) keringtek az interneten, melyek hasonló tevékenységet valósítottak meg. Az első a Stuxnet volt, mely kifejezetten az iráni atomprogram ellen irányult; vélhetően izraeli és amerikai közreműködéssel jöhetett létre. A második a tavalyi év során felfedezett, Crash Override vagy Industroyer néven ismert kártevő, ami a 2016 decemberében, egy ukrán erőmű ellen bekövetkezett kibertámadás alapjául szolgált. Ezt a feltételezések szerint orosz támadók készítették és eresztették pusztító útjára.