A Kaspersky Lab Control Systems Cyber Emergency Response Team-je szeptember utolsó napjaiban ismét megjelentette féléves összefoglalóját az általuk megfigyelt és elemzett ICS kiberbiztonsági fenyegetésekről.
A 20 oldalas tanulmány részletesen foglalkozik az ESET és a Dragos munkatársai által felfedezett és CrashOverride/Industroyer néven publikált, ICS rendszerek elleni támadásokhoz létrehozott malware-rel.
A Kaspersky tanulmánya szintén beszámol két amerikai szervezet biztonsági (safety) rendszerei elleni támadásról, az első még január közepén, 8 nappal Donald Trump elnöki beiktatása előtt a Washington DC rendőrségi CCTV-rendszer elleni támadás volt, amikor a köztéri megfigyelő kamerák felvételeit tároló 187 storage eszközből 123-at fertőzött meg zsaroló vírus.
A másik esetben, áprilisban a dallasi vészhelyzeti szirénarendszer vált használhatatlanná egy kibertámadás következtében. Másfél órányi időszakban 156, tornádóra figyelmeztető sziréna kezdett működni 15 alkalommal, alkalmanként 90 másodpercre. Bár részleteket nem nagyon lehet tudni az incidensről, a Bastille nevű biztonsági cég munkatársai szerint feltételezhető, hogy a támadók egy "rádió-visszajátszásos" támadást hajtottak végre, vagyis rögzítették a szirénarendszer vezérlőközpontjának rádióadásait az egyik havi tesztelés során, majd ezt a rögzített adást játszották vissza a szirénák rádiós vevőegységeinek. A dallasi hatóságoknak két napig tartott, mire helyre tudták állítani a rendszer üzemszerű működését - ez egy biztonsági (safety) rendszernél hihetetlenül hosszú idő!
A tavaly októberi, Mirai botnettel végrehajtott DDoS-támadások után 2017 áprilisában és májusában ismét IoT kamerák hibáit hozták nyilvánosságra kutatók (áprilisban Pierre Kim, májusban a TrendMicro munkatársai).
A nigériai vagy 417-es csalók tevékenysége régóta nem újdonság az IT/információbiztonsági szakemberek többségének, azonban a Kaspersky tanulmányában most először jelennek meg olyan nigériai támadók, akik ipari rendszerek mellett üzemelő üzleti levelezőrendszereket támadnak. A Kaspersky elemzése szerint több, mint 50 országban 500-nál is több szervezetet vettek célba a támadók és a célba vett szervezetek legkevesebb 80%-a ipari, közlekedési vagy logisztikai vállalat volt.
A 2017 első felében nyilvánosságra hozott (jellemzően amerikai kormányszervek által gyűjtött) sérülékenységek és a hozzájuk kapcsolódó kártékony kódok között a tanulmány a Wikileaks által közzétett CIA-s archívumot valamint a Shadow Brokers által ellopott, majd nyilvánosságra hozott NSA archívumot említi.
Ez utóbbihoz kapcsolódik az utóbbi évek legnagyobb ransomware-hulláma, a WannaCry, ami májusban, majd a Petya/Petwrap-támadás, ami június végén söpört végig számos szervezet rendszerein, nem kímélve a legkülönbözőbb, Windows operációs rendszerre épülő ICS rendszereket sem (a WannaCry-nál a Renault/Nissan/Dacia gyártósorairól tudjuk, hogy hatással volt rájuk a ransomware, Ausztráliában pedig a Cadburry gyáraira volt hatása, a Petya/Petwrap-támadás pedig főleg Ukrajnában és Oroszországban okozott komoly gondokat különböző ipari szereplőknek).
Részletesebb adatokat, grafikonokat a Kaspersky Lab ICS CERT által kiadott, 20 oldalas tanulmányban lehet olvasni: https://ics-cert.kaspersky.com/wp-content/uploads/sites/6/2017/09/KL-ICS-CERT_H1-2017_report_FINAL_EN.pdf
