Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonsági esettanulmányok II

Az ICS szervíztechnikus esete, avagy a malware két lábon érkezik

Facebook Tumblr Tweet Pinterest Tetszik
0
2018. augusztus 18. - icscybersec

Ez az esettanulmány egy olyan, incidensről szól, amikor a BSI egy ICS rendszer vezérlőközpontjából kapott feltételezhető malware fertőzésről szóló értesítést. A bejelentések vizsgálata során fény derült arra, hogy egy ICS szervíztechnikus egy USB adathordozót csatlakoztatott az ICS rendszer egyik fejlesztői számítógépéhez. A számítógépre telepített antivírus szoftver riasztott, mert az adathordozón egy különböző Windows verziókat megfertőzni képes malwaret talált.

A BSI vizsgálata során kiderült, hogy a szervíztechnikus ugyanezt az USB adathordozót néhány nappal korábban csatlakoztatta ugyanehhez a számítógéphez, ekkor az antivírus szoftver nem riasztott, pedig mindkét alkalommal az elérhető legfrissebb vírusadatbázissal működött, az antivírus szoftver gyártója pedig már hetekkel korábban kiadta azt a vírusadatbázis frissítést, ami tartalmazta a szóban forgó malware mintját.

A szervíztechnikus és a BSI munkatársai végül megállapították, hogy a malware a technikus saját számítógépéről került az USB adathordozóra, amikor zenéket másolt rá magának. Amikor idáig jutottak a vizsgálatban, a BSI munkatársainak meg kellett határozniuk az érintett ICS rendszerek számát és biztosítaniuk kellet, hogy fertőzés nem terjed tovább.

A malware eltávolítása azonban nem bizonyult egyszerű feladatnak, mert az érintett ICS rendszer produktív számítógépein a valós idejű folyamatirányítási és szabályozó hatósági követelmények miatt nem volt antivírus megoldás telepítve, így már az is kérdéses volt, hogy a produktív rendszer számítógépei egyáltalán fertőzöttek-e?

Több megoldási lehetőség mérlegelése és elvetése után végül az antivírus szoftver gyártójának egy telepítést nem igénylő szoftverével vizsgálták meg a kérdéses számítógépeket, amelyek közül több, de nem az összes, fertőzött volt. A malware eltávolítása után folytatódott az incidens vizsgálata, ami során kiderült, hogy a hibázó technikus korábban egy fontos biztonsági intézkedést már végrehajtott az ICS rendszerben, ami kulcsfontosságúnak bizonyult abban, hogy az incidens nem lett sokkal súlyosabb, ez pedig az volt, hogy az ICS rendszer semmilyen módon nem tudott kommunikálni az Interneten, így a folyamatirányító rendszert megfertőző malware nem tudott kapcsolatba lépni azokkal a vezérlő (Command&Control, C2) szervereivel, amiken keresztül adatokat tudott volna lopni vagy további utasításokat fogadhatott volna.

Az érintett szervezet egyik munkatársa azt javasolta, hogy végezzenek malware-elemzést, ami alapján ki tudnák deríteni a fertőzés várható hatásait. Ha a folyamatirányító rendszerben egy ilyen hatást ki tudnak zárni, akkor nem szükséges eltávolítani a kártékony kódot. Ezt a lehetőséget végül a döntéshozók kizárták, mert egyrészt nem volt elég idő a malware-elemzés elvégzésére, másrészt pedig nem állt rendelkezésre olyan, megfelelően képzett, minősített és megbízhatónak tekintett vállalat, ami elvégezte volna az elemzést. Alternatív megoldásként a feltételezhetően fertőzött számítógépek újratelepítése is felmerült. Számos ok miatt (nem voltak megfelelő vészhelyzet-kezelési eljárások kidolgozva a folyamatirányító rendszer leállásának esetére, nem volt minden szoftverkomponens, konfiguráció és rendszerdokumentáció azonnal elérhető) végül ezt a lehetőséget is elvetették.

Tanulságok

- Az eset legfontosabb tanulsága, hogy az ICS rendszereket üzemeltető szervezeteknek nem szabad csupán a saját munkavállalóik biztonságtudatosságára koncentrálni, ugyanígy képezni kell a fontosabb rendszerekhez, pl. ICS rendszerekhez/berendezésekhez hozzáféréssel rendelkező külső szakértőket is;
- Kötelező és általánosan érvényes szabályokat kell bevezetni az informatikai eszközök munkahelyi és magán célú használatára vonatkozóan;
- Vészhelyzeti menedzsment-eljárásokat kell kialakítani (és ezeket rendszeresen tesztelni is kell!);
- Az ICS rendszereknél használt adathordozókat az ICS rendszer elemeihez történő csatlakoztatás előtt minden esetben egy független, naprakészre frissített antivírus megoldással rendelkező munkaállomáson kell megvizsgálni. Egy ilyen megoldás előnye, hogy az ICS rendszerben használt cserélhető adathordozók vírusellenőrzése megoldott, annak kockáztatása nélkül, hogy az antivírus szoftver az ICS rendszer egyes elemeinek sérülését okozhatják;
- Az ICS rendszer számítógépein az operációs rendszer beépített megoldásával vagy más, külső szoftveres megoldással korlátozni kell a cserélhető adathordozók használatát.

Az esettanulmány BSI által publikált eredeti (német nyelvű) változata itt érhető el.

Szólj hozzá!
esettanulmány ICS biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1514151629

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása