Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

VPNFilter

SOHO routereket és NAS-okat célzó malware-támadás

2018. május 27. - icscybersec

A héten szerdán, május 23-án a Talos egy publikációjában írt először az általuk VPNFilter-nek nevezett malware-támadásról, ami minimum 54 országban legkevesebb fél millió eszközt érinthet. A malware-kampány részleteiről a Talos cikke alapján részleteket közölt az ArsTechnica is, mindkét cikk közölte az érintett eszközök (Linksys, Mikrotik, Netgear, QNAP és TP-Link berendezések bizonyos típusairól van szó) listáját.

Felmerülhet, hogy mi köze lehet a VPNFilter-nek az ICS rendszerekhez - nos, több is, mint azt elsőre gondolnánk. Az első kapcsolódási pont az lehet, hogy a Talos kutatói szerint a VPNFilter malware karakterisztikájában több ponton az ukrán villamosenergia-rendszer elleni támadásoknál használt BlackEnergy malware-rel mutat hasonlóság. A másik, igen érdekes gondolatot egy ismerősömtől hallottam először: az európai villamosenergia-rendszerben számos olyan szereplő lehet, akik költséghatékonysági okokból nem nagyvállalati, hanem SOHO eszközökkel oldanak meg egyes LAN/WAN hálózati feladatokat - ilyen formán pedig a villamosenergia-rendszer szereplői is könnyedén érintettek lehetnek.

A téma súlyát mutatja, hogy pénteken a US-CERT külön publikációban (TA18-145A) foglalta össze a legfontosabb tudnivalókat. Az FBI és a DHS közös összefoglalója elsődleges intézkedésként azt javaslolja minden, érintett eszközt üzemeltető szervezetnek és magánszemélynek, hogy indítsák újra az eszközeiket - ez ugyan még nem fogja megvédeni őket a sérülékeny berendezések ismételt kompromittálásától, de legalább átmenetileg meg tudják szakítani a malware működését az eszközeiken.

Az ICS rendszereket üzemeltető szervezeteknek én ezen túlmenően még annyit javaslok, hogy ha eddig nem tették meg, építsenek minél előbb olyan képességeket, amikkel képesek a fenti forrásokban megadott adatok alapján felismerni, ha a rendszereik érintettek a VPNFilter-támadásokban. Az első lépés egy támadás elhárítása során még mindig az, hogy vegyük észre a támadók tevékenységeit - akár bejutottak már a hálózatunkba, akár még csak most keresik az utat befelé.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr8614006672

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása