Alig több, mint két héttel ezelőtt a CyberScoop több cikkében arról írt, hogy a Dragos által Xenotime-nak nevezett támadói csoport, amit a Szaúd-arábiai Triton/TriSIS támadás feltételezett elkövetőjének tartanak, több ipari létesítmény ellen is támadást indítottak.
Ahogy korábban többször is írtam róla, a Triton/TriSIS (hasonlóan a Stuxnet-hez), újabb mérföldkövet jelentett az ICS kiberbiztonsági incidensek történetében, ez volt az első olyan támadás, ahol a cél a feltételezések szerint a korábbiaknál (Stuxnet, ukrán villamosenergia-rendszer elleni támadások) sokkal nagyobb mértékű pusztítás és az emberélet veszélybe sodrása lehetett.
A kutatók szerint az amerikai támadásoknál talált malware számos hasonlóságot mutat a Triton/TriSIS malware-rel, azzal ellentétben azonban az új malware-t nem egyetlen safety instrumented system (SIS) ellen tervezték, hanem több különböző SIS rendszert képes támadni. Egyelőre azzal kapcsolatban nincsenek információk, hogy a Xenotime-nak nevezett támadói csoport hogyan volt képes létrehozni egy ilyen összetett malware-t.
Bár a Dragos munkatársai fontos részleteket nem publikáltak, annyit tudni lehet, hogy a támadók a célba vett ipari szervezetek IT rendszereit vették célba, jellemzően adathalász és ún. waterin-hole támadásokkal. Ez persze válaszok helyett inkább csak újabb kérdéseket vet fel, hiszen ahogy azt már a Triton/TriSIS részletesebb elemzéseiben olvashattuk, a szaúdi incidenshez nagy mértékben hozzájárult az a hiba, hogy az SIS rendszer össze volt kapcsolva az adott létesítmény folyamatirányító rendszerének hálózatával, ami az ICS biztonsági jó gyakorlatok szerint az egyik leginkább ellenjavalt gyakorlat. Így azonban adódik a kérdés, hogy az amerikai támadások esetén vajon a támadók nem jutottak el az SIS rendszerekig vagy az ilyen (nem ajánlott) kapcsolatok az ICS és SIS rendszerek között sokkal általánosabbnak számítanak, mint azt gondolnánk?
A jelek szerint eljött az ideje annak, hogy az ipari folyamatirányító rendszerek és berendezések auditálása után az SIS rendszerekre vonatkozó audit módszertanokat dolgozzunk ki. Tisztán látszik, hogy ez nem lesz könnyű, az OT szakterületen dolgozó mérnökök ellenállása az SIS rendszereknél az eddig megszokottnál is erősebb lehet és tekintettel arra, hogy ezeknek a rendszereknek az elsődleges célja az emberélet megóvása, úgy gondolom, hogy ezeket az észrevételeket nagyon alaposan számításba kell venni.
A másik nagy feladat az érintett szakemberek (OT mérnökök és IT biztonsági mérnökök) képzése. Az OT mérnökök biztonságtudatossági képzésére való igényt én személy szerint már látom megjelenni, ennek igen jó jele, hogy a Magyar Elektrotechnikai Egyesület évek óta egyre nagyobb hangsúlyt igyekszik helyezni a témára, de az IT biztonsági szakemberek ipari folyamatvezérlési szaktudással történő felvértezéséhez az egyes ipari szereplőknek, esetleg az iparági szereplőknek kell hangsúlyt fektetni, hiszen az iparági folyamatvezérlés szektorspecifikus tudása náluk található.