Az IT biztonság területén már viszonylag megszokott az új típusú kártevők és fenyegetések felbukkanása, így volt ez a zsarolóvírusokkal is, amelyek néhány évvel ezelőtti felbukkanása után elég gyorsan meg kellett szokni a létezésüket és meg kellett tanulniuk az érintett szakembereknek együttélni ezekkel az új fenyegetésekkel. 2017-ben a WannaCry, majd a NotPetya támadások idején az ICS rendszerek egy része szintén érintett volt, de nem volt információnk olyan titkosító-zsaroló malware-ről, amit kifejezetten ICS rendszerek ellen terveztek és vetettek volna be. Eddig.
Az ESET blogján most szerdán jelent meg az a cikk, amiben a bűnözők egyik új taktikáját mutatják be, neveztesen az épület-automatizálási rendszerek (Business Automation Systems) elleni zsarolóvírus támadásokat. A jelenségnek már saját neve is van, a kutató siegeware-nek nevezték, magyarul szó szerinti fordításban ostromvírusnak lehet fordítani, de én ezt kicsit esetlennek érzem, ezért inkább az eredeti megnevezéssel fogok hivatkozni ezekre az új kártevőkre.
Nagyon röviden, hogy mik is az épületautomatizálási rendszerek. A BAS rendszerek jellemzően a nagyobb épületek üzemeltetéséhez szükséges folyamatok automatizlását lehetővé tevő rendszerek (füstérzékelő és tűzjelző rendszerek, központi hűtő-, fűtő- és légkondícionáló rendszerek, automata tűzoltó rendszerek, világításvezérlő rendszerek, az épületekbe integrált biztonsági és fizikai hozzáférés-vezérlő, beléptető rendszerek, épületen belüli villamosenergia-menedzsment rendszerek, különösen az adatközpontok szünetmentes tápellátását biztosító rendszerek, stb.).
Most képzeljük el azt az esetet, amikor egy nagy irodaházat üzemeltető cég dolgozói egy e-mail vagy SMS üzenetet kapnak az alábbi szöveggel: “Az xxxxxxxx címen található épület összes vezérlő rendszere felett átvettük az irányítást és leállítjuk őket, amennyiben nem fizetnek 24 órán belül 10.000.000 Forintot Bitcoinban az alábbi számlára.” Hogy ilyen csak a filmekben történhet? Már többször megtörtént, legalábbis a hivatkozott ESET cikk szerint, ami azt állítja, hogy egy, a fentihez hasonló esetben a rendőrséghez forduló áldozatnak a hatóság emberei állították, hogy nem az első ilyen panasz érkezik hozzájuk.
Hogyan lehetséges egyáltalán egy ilyen támadást végrehajtani? Anélkül, hogy tippeket akarnék adni a támadóknak, azt tudom mondani, hogy pont ugyanúgy, mint bármilyen más ICS rendszer elleni támadás esetén:
1. A BAS rendszerek egy jelentős hányada minden ellenkező ajánlás ellenére elérhető az Interneten, egy gyors Shodan vagy Censys keresés akár több 10.000 találatot is adhat.
2. A BAS rendszerek általános kiberbiztonsági állapota semmivel sem jobb (vagy ami azt illeti, rosszabb), mint az átlagos ICS rendszereké, ami ugye azt jelenti, hogy elég gyenge.
A helyzet tehát az, hogy (ahogy azt 2017 illetve 2018 végén a szakértők már jósolták) egyre terjednek az ICS rendszereket célzó malware-ek és támadások. Lehetséges, hogy kicsit lassabban, mint ahogyan vártuk, de ezek a (időnként még csak elméleti) fenyegetések egyre inkább valósággá válnak, az ICS rendszereket üzemeltetőknek pedig időben el kell kezdeniük felkészülni arra, hogy az ő rendszereik is célponttá válhatnak.
Kifejezetten érdekes a BAS rendszerek és üzemeltetőik helyzete, hiszen a nagyobb irodaházak mellett minden nagyobb adatközpontban is megtalálhatóak ezek a rendszerek, tehát még arra sincsen szükség, hogy az adott szervezet ipari tevékenységet (közmű-szolgáltatás, gyártás, stb.) végezzen, elég, ha a támadók egy nagyobb bank adatközponti BAS rendszereit támadják siegeware-rel - vajon melyik bank vállalja azt, hogy akár napokra leállnak a legfontosabb rendszerei vagy inkább fizetnek a támadóknak?
