Feltehetőleg állami megbízásból dolgozó hackerek állítottak le ezt-azt a létesítményben.

A FireEye közlése szerint a támadók a Schneider Electric fejlesztette Triconex iparbiztonsági technológiáját célozták meg. Az IT-biztonsággal foglalkozó cég állítását a Schneider is megerősítette, egyben azt is közölve, hogy értesítették Triconexet használó ügyfeleiket. Az energiaiparban – nukleáris üzemekben, gáz- és olajalapú erőművekben – széles körben használt technológia hackerek által kihasznált biztonsági hiányossága ezek szerint komoly kockázatot jelenthet az érintettek számára.

A múlt hét szerdára datált támadásról a Schneider annyit volt hajlandó elárulni, hogy az amerikai Belbiztonsági Minisztériummal együttműködve vizsgálják ki az esetet. Emellett az is kiderült, hogy a rendelkezésre álló bizonyítékok alapján nem a Triconex rendszerben vagy a programkódban van biztonsági rés. A támadás egyébként izoláltan ment végbe, más szervezeteket nem érintett.

A digitális Közel-Kelet is robbanásközeli állapotban

Sem a FireEye, sem a Schneider Electric nem kívánta pontosan megnevezni, hogy ki volt az áldozat, és azt sem, hogy melyik országban történt az incidens. Ugyanakkor egy másik, ugyancsak kiberbiztonsággal foglalkozó vállalat, a Dragos szerint a hackerek egy közel-keleti szervezetet támadtak.

A témában szintén járatos CyberX még azt is tudni véli, hogy a helyszín Szaúd-Arábia volt. Ez utóbbi egyébként azt is jelentheti, hogy a támadás hátterében Irán állhatott. Ami nem lenne annyira meglepő: IT-biztonsági szakértők között széles körben elfogadott konszenzus szerint Irán 2012 és 2017 között számos támadást intézett szaúd-arábiai hálózatok ellen a Shamoon nevű vírus felhasználásával.

Kémprogrammal mérték be a tüzérséget
Ugyanaz a hackercsoport piszkálhatott bele az ukrán katonai fejlesztésbe, amely állítólag az amerikai Demokrata Párt elleni támadásokért is felelős. Ez a következtetés abból az egyszerű okból vonható le, hogy ugyanaz a malware található meg abban az alkalmazásban is, amelyet az ukrán tüzérségnél a lőelemek feldolgozásának gyorsítására használtak.

Az applikációt még a háború előtt írta egy tüzértiszt, és az ukrajnai polgárháborúban 2014 és 2016 között a szovjet időkből származó D-30-as tarackok több perces célzási idejét volt hivatott 15 másodpercre csökkenteni. Bár az alkalmazás eredetileg nem volt publikus, vagyis nem lehetett beszerezni mondjuk a Play alkalmazás-áruházból, csak közvetlenül a fejlesztőtől, az orosz hackerek mégis sikeresen megfertőzték a malware-rel, egészen pontosan az Agent-X névvel jelölt rosszindulatú kód egyik variánsával. További részletek erre.

Visszatérve a most történtekre: jelentős lépés ez, hiszen egy ipari létesítmény biztonsági rendszerének feltörése komoly tudást igényel. Az elmúlt években azonban még az átlagos internetező is tapasztalhatta, hogy a hackerek egy részének érdeklődése kritikus fontosságú infrastruktúrák irányába fordul, így azért váratlannak nem mondanánk a történteket. Veszélyesnek annál inkább, hiszen a biztonsági rendszer kijátszásával egy létesítmény gyakorlatilag bármelyik része felett át lehet venni az ellenőrzést, ráadásul úgy, hogy az üzemeltető számára le sem esik: éppen támadás alatt van.

Galina Antova szerint vízválasztó ez a támadás. A kiberbiztonsággal foglalkozó Claroty társalapítója úgy véli, hogy a támadás sikere miatt előbb-utóbb el fognak szaporodni az ilyen jellegű betörések; a nagy szakértelemmel bíró online bűnözők utánozni fogják az incidenst más célpontok esetében. Kifinomult malware révén távolról veszik át az ellenőrzést a Schneider Electric Triconex biztonsági rendszere felett, ahogy az a cikk témájául szolgáló esetnél történt.

A vizsgálatok szerint az erőművet ért támadás során a hackerek átprogramozták a biztonsági eseményeket észlelni hivatott vezérlőket. Ezek közül néhány - az IT-biztonsági kutatók állítása alapján véletlenül - fail-safe módba kapcsolt, amivel a vezérlőkhöz köthető folyamatokat leállásra késztette. Ez egyben le is buktatta a támadókat, mivel az üzemeltető kiszúrta a rendellenes működést, közölte a FireEye vizsgálatát vezető Dan Scali.

Scali szerint egyébként a támadók még csak próbálták kiismerni magukat a rendszerben, ezért állítottak át akaratlanul pár vezérlőt. Ezzel viszont olyan információk birtokába kerülhettek, melyekkel egy következő támadás esetén már sokkal magabiztosabban, észlelhető nyomok nélkül tudnak majd behatolni a célpont hálózatba és lesznek képesek kárt okozni ott.

Sorban a harmadik

Az amerikai kormányzat és számos, magánkézben levő IT-biztonsági cég is nyilvános figyelmeztetések özönét adta ki az elmúlt években az iráni, észak-koreai, orosz és más, állami támogatással dolgozó hackerek (várható és bekövetkezett) támadásai kapcsán. Különösen a kritikus fontosságú infrastruktúrákat üzemeltető vállalatok vannak veszélyben, mivel a támadók kiemelt érdeklődést mutatnak az által működtetett rendszerekkel szemben.

A cikkünk témáját szolgáltató, Triton névre keresztelt digitális kártevő egyébként csupán a harmadik a maga nemében. Eddig mindössze két olyan malware (és változatai) keringtek az interneten, melyek hasonló tevékenységet valósítottak meg. Az első a Stuxnet volt, mely kifejezetten az iráni atomprogram ellen irányult; vélhetően izraeli és amerikai közreműködéssel jöhetett létre. A második a tavalyi év során felfedezett, Crash Override vagy Industroyer néven ismert kártevő, ami a 2016 decemberében, egy ukrán erőmű ellen bekövetkezett kibertámadás alapjául szolgált. Ezt a feltételezések szerint orosz támadók készítették és eresztették pusztító útjára.

Biztonság

Bug bounty programot hirdetett a legaktívabb hekkercsoport

Nem ismert sérülékenységek felfedezéséért általában az érintett cégek szoktak fizetni biztonsági szakembereknek. Ebben az esetben viszont egy bűnözői csoport ajánlott díjazást azoknak, akik hajlandók velük együttműködni.
 
Éltek már vissza a bankkártyaadataival? Ha nem, akkor azt nagy valószínűséggel egy csalásfelderítő rendszernek köszönheti.

a melléklet támogatója a Balasys

A Világgazdasági Fórum figyelmeztetése szerint jelentős szakadék tátong a C-szintű vezetők és az információbiztonságért felelős részlegek helyzetértékelése között.

A járvány üzleti vezetőt csinált a CIO-kból

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.