Nem meglepő, és nem is fordulat: az iráni konfliktus a kibertérben is zajlik. Az amerikai kormány a múlt héten adott ki figyelmeztetést: iráni hekkerek kritikus infrastrukturák ipari irányítórendszereit (ICS, Industrial Control System) és más operatív technológiákat (OT, operational technology) támadhatják. A CISA múlt heti közleménye a Rockwell és a Siemens ipari rendszereit nevesítette is mint potenciális célpontokat.

A kiberbűnözők értelemszerűen az interneten keresztül valamilyen módon elérhető vezérlőket (főleg víz- és energiaellátásban) célozták meg. A támadásokhoz több esetben olyan infrastruktúrát béreltek, amelyen a Rockwell Studio 5000 Logix Designer futott, és a legitim konfigurációs szoftver segítségével támadták a gyártó PLC-it, azaz programozható logikai vezérlőit.

Az érintett szállítók is reagáltak

A Siemens a CISA közleményére hivatkozva április 10-én adott ki figyelmeztetést. Mint a cég közleményében olvasható, egyelőre nincs jele annak, hogy kihasználták volna a Siemens ICS-einek bármely sérülékenységét.

A gyártó azonban a geopolitikai helyzet bizonytalanságára tekintettel azt javasolja ügyfeleinek, biztonsági szempontból vizsgálják felül infrastruktúrájukat.

Első lépésként ellenőrizzék, hogy az eszközök és rendszerek legújabb verziója fut-e, mert az csökkenti az esélyét az olyan támadásoknak, amelyek ismert sebezhetőségeket használnának ki.

Felül kell vizsgálni a teljes hálózatot, és a kritikus ipari vezérlőrendszereket el kell szeparálni minden olyan hálózati szegmenstől (internet, karbantartatlan belső hálózatok, fizikailag nem megfelelően biztosított környezetek stb.), amelynek biztonsági szintje nem megfelelő, ha pedig ez a leválasztás nem megy, meg kell erősíteni a védelmét például tűzfalakkal.

Meg kell erősíteni a biztonságtudatosságot is. Felül kell vizsgálni a jelszóhasználatot, hogy az alapértelmezett jelszavakat mindenki lecserélte-e erős és egyedi jelszóra.

Korábban hasonló javaslatokat fogalmazott meg a Rockwell is.

Nem tudni, mennyire hatékonyan a támadók

A SecurityWeeknek nyilatkozó szakértők szerint a CISA valós és jelentős kockázatra hívta fel a figyelmet. A helyzet azonban bonyolultabb.

A kiberbiztonsági cégek érzékelték a támadások intenzitásának növekedését. A támadók pedig igyekeznek nagyobbítani sikereiket: a konfliktus kezdete óta több száz ellenőrizetlen (és/vagy ellenőrizhetetlen) információt szivárogtattak arról, hogy világszerte rengeteg OT rendszert sikerült kompromittálniuk. Ezt nem egyszer képernyőképekkel igyekeznek bizonyítani még akkor is, ha valójában nem jártak sikerrel.

A potenciális célpont szervezetek azonban egyelőre nem hoztak nyilvánosságra a támadókat igazoló információkat.

Vannak olyan vélemények is, melyek szerint azért nehéz azonosítani a támadásokat, mert azok nem látványosan rombolni, hanem csak alattomosan manipulálni akarnak. Egy szakértő szerint a fentebb említett Studio 5000 Logix Designer segítségével ki lehet nyeri a fizikai folyamatokat vezérlő programozási logikát, és annak birtokában manipulálhatók a SCADA kijelzőkön megjelenő adatok. A hamis adatok pedig hibás döntésekhez, szélsőséges esetben akár katasztrófához is vezethetnek.