A Kaspersky az elmúlt héten hozta nyilvánosságra a 2016 második félévéről készült ICS biztonsági összefoglalóját. A felmérés adatai szerint 2016 második félévében (egy minimális decemberi csökkenés mellett) folyamatosan nőtt az ICS rendszerek esetén észlelt kiberbiztonsági incidensek száma,  átlagosan az összes, a Kaspersky által vizsgált ICS rendszerek 20-25 %-át érte támadás ebben az időszakban.

A fenyegetések döntő többsége (22 %-a) az Internet irányából érte a vizsgált ICS rendszereket, a második legnagyobb kockázatot továbbra is a különböző, ICS rendszerekben használt adathordozók jelentik (10,9 %-kal), a harmadik pedig az ICS rendszerekkel valamilyen formában (pl. mérnöki hordozható eszközökön működő) e-mail kliensek jelentik (8,1 %-kal). További támadási vektorokként jelennek meg a rendszerekről készített mentések (0,9 %), a hálózati megosztások (0,7 %), a Windows mentések másolata (0,5 %) és a felhős tárhelyek alkalmazása (0,1 %). A fentiekből jól látszik, hogy az ICS rendszerek fizikai szeparálása a vállalati IT hálózattól és az Internettől megbukott, mint önállóan hatékony, preventív biztonsági intézkedés az ICS rendszerek kiberbiztonságának megteremtése során. Ahelyett, hogy egy-egy támadási vektor elleni intézkedésekkel a szervezetek szétforgácsolnák az erőforrásaikat, egy átfogó és integrált, rendszeres és alapos kockázatelemzésen alapuló biztonsági intézkedéscsomagot kell kifejleszteni és alkalmazni.

A Kaspersky adatai alapján jól kirajzolódik, hogy a különböző kiberbiztonsági incidensek zöméért az átlagos IT rendszerek elleni támadásokért felelős malware-ek tehetőek felelőssé. Ezek a malware-ek jellemzően a fent vázolt módok valamelyikén találnak utat az ICS rendszerekig és jóval kevésbé jellemző, hogy kifejezetten az ICS rendszerek ellen fejlesztenék őket a támadók. Ennek ellenére az adatokból azt is le lehet szűrni, hogy az ICS rendszereket üzemeltető szervezetek elleni célzott támadások is egyre gyakoribbak. A Kaspersky egy széles körű, adathalász módszereket használó támadást figyelt meg, ami megfigyeléseik szerint 2016 júniusában kezdődött és 2017 március végén még tartott. Ez a támadássorozat 50 ország több, mint 500 vállalatát érintette, többek között a kohászati, villamosenergia-ipari és más szektorokban működő cégeket. A támadók jellemzően már ismert és a különböző motivációjú csoportok által már jóideje használt malware-családokat használják ezekhez a támadásokhoz is: euS, Pony/FareIT, Luminosity RAT, NetWire RAT, HawkEye, stb. Ezek a malware-ek a kiberbűnözők köreiben is igen népszerűek, de az ipari szereplők elleni támadásokhoz egyedi módosításokat is tartalmaznak.

A Kaspersky felmérésében szereplő incidensek között kiemelkedően sok a szolgáltatás-megtagadásos (DoS) támadás. Második helyen a távoli kódfuttatást lehetővé tevő hibák kihasználása áll, a harmadik pedig a fájl-manipulálásra építő támadások csoportja. A különböző (SQL és parancssori) kódbefecskendezéses támadások és a felhasználói fiókok manipulálására épülő támadások csak a lista végére fértek fel.

A Kaspersky CERT-jében dolgozó kutatók 2016 második felében összesen 75 különböző ICS rendszereket érintő sérülékenységet fedeztek fel, ezeknek 77 %-a (58 a 75-ből) a CVSSv3 alapján magas vagy kritikus besorolású volt (ez még az általam publikus forrásokból gyűjtött számoknál is rosszabb képet mutatnak, én tavaly július elejétől december végéig összesen 131 különböző ICS sérülékenységről szóló információt gyűjtöttem össze, ezek 66 %-a tartozott a magas vagy kritikus kockázatú csoportban).

A fenti fenyegetések az általános IT biztonsági kihívásokon túl további, elsősorban az ipari rendszerekre jellemző kihívásokat jelentenek az ICS rendszerek üzemeltetéséért és kiberbiztonságáért felelős szakemberek számára (ezek egy részét korábban már érintettük itt, a blogon is):

1. Az ipari rendszerek esetében az összetettségük és az integráltságuk a különböző IT rendszerekkel, együtt azzal, hogy a különböző gyártók hagyományosan minimális erőfeszítéseket tesznek a biztonságosabb rendszer/komponens kialakítása érdekében, jelentősen növeli az ismert és a nulladik napi sérülékenységek kihasználásának kockázatát. További problémákat okoz, hogy a gyártók még mindig nem priorizálják a feltárt hibák javítását a rendszereikben és az elkészült javításokat is inkább az új verziókban jelentetik meg, ahelyett, hogy patch-ek és hotfix-ek formájában minél több sérülékeny rendszer javítására törekednének. Emellett még mindig vannak olyan gyártók is, akik inkább megpróbálják titokban tartani és javítani a rendszereikben felfedezett hibákat.

2. A klasszikus IT biztonsági hármas (bizalmasság, sértetlenség, rendelkezésre állás) és az eszközök kompatibilitásának biztosítása közben a gyártók gyakran félreteszik a biztonságosabb rendszerek fejlesztésének szempontját, ezért sok esetben az ICS rendszerek gyenge biztonsági szinttel vagy kifejezetten sérülékeny megoldásokkal kerülnek üzembe helyezésre.

3. Az ICS/SCADA rendszerek jellemző biztonsági (safety) beállításai a legritkább esetben vannak felkészítve arra az esetre, amikor egy támadó szándékosan manipulálja a folyamatvezérlést vagy valaki ártó szándékkal használja a legitim jogosultságokat a rendszerben. Ez utóbbira a legjobb példa a két ukrán incidens 2015 és 2016 decemberében, de szerencsére ezekben az esetekben, amennyire tudhatjuk, személyi sérülés nem történt és arról sincs információ, hogy a SCADA rendszerek biztonsági (safety) funkcióit is manipulálták volna.

Botnetek ipari hálózatokban

A Kaspersky kutatói a vizsgált hálózatok 5 %-ában találtak aktívan működő botnetekhez tartozó eszközöket illetve olyan nyomokat, amik alapján korábban az adott hálózatban működtek botnetekhez tartozó eszközök. Ez ahhoz képest nagy szám, hogy a botnetek általános működési köre (pénzügyi és más Internetes szolgáltatásokhoz használt felhasználói adatok ellopása, levélszemét küldése, DoS-támadások indítása) nem jellemző az ipari rendszerekre. Bár ezek a botnet-műveletek alapvetően nem arra szolgálnak, hogy zavart okozzanak az ipari folyamatvezérlésben, az ICS rendszerek sok esetben olyan kicsi teljesítmény-tartalékkal működnek, hogy egy efféle extra funkció futása már hatással lehet a stabil működésre vagy kompatibilitási problémákat okozhat. További problémát okozhat, ha egy botnetbe bevont ipari eszköz publikus hálózaton kommunikál, előfordulhat, hogy a botnet forgalom miatt az ICS eszközhöz rendelt IP cím fekete vagy szürkelistára kerül egyes reputációs adatbázisokból dolgozó biztonsági megoldásoknál, ami az üzembiztonsági probémákon túl az adott szervezet jó hírét is csorbíthatja. A fertőzött ICS eszközök más jellegű fenyegetéseket is hordoznak. A botnet ügynökök jellemzően sok olyan adatot is összegyűjtenek a megfertőzött eszközökről, amelyek alapján egészen jól be lehet azonosítani az adott szervezetet, ráadásul a botneteket a DarkWeb-en/DeepWeb-en rendszeresen el- vagy bérbe adják, így akár egy célzott támadás megalapozásához is vezethet egy nem célzott malware-fertőzés.

A felmérés során gyűjtött adatok alapján az ICS rendszerekben a leggyakoribb botnet-építő malware az Andromeda volt, a második leggyakoribb a Zeus, harmadik pedig a Cryptowall.

A Kaspersky ICS-CERT által készített tanulmány teljes terjedelmében itt érhető el.