Ezen a héten kedden, október 29-én érkeztek az első hírek arról, hogy a legnagyobb indiai atomerőművet, a Tamil Nadu tartományban található Kudankulam Atomerőművet (Kudankulam Nuclear Power Plant, KKNPP) kibertámadás érte. Az illetékesek először kategórikusan tagadták az incidens megtörténtét. Október 30-án azonban a Nuclear Power Corporation of India Ltd. (NPCIL) nevű indiai állami atomenergia vállalat megerősítette, hogy szeptember elején valóban történt egy incidens, amikor a Kaspersky Lab által szeptember közepén publikált elemzésben leírt, DTrack néven hivatkozott, elsősorban ATM-ek ellen használt malware fertőzött meg legalább egy számítógépet az KKNPP hálózatában.
A Kaspersky elemzése szerint a DTrack malware billentyűzet-leütés naplózásra, böngésző-előzmények mentésére, IP címek és egyéb, hálózati információk gyűjtésére, a futó folyamatok listázására és a megfertőzött számítógépen található fájlok listázására is képes volt.
Fentiekből elég jól látható, hogy a DTrack inkább egy felderítésre (is) használható malware-nek látszik. Az indiai illetékesek szerint (akik persze többé-kevésbé ugyanazok, akik egy napig vehemensen tagadták, hogy bármilyen incidens történt volna), a malware-támadás nem érintette az atomerőmű irányítástechnikai rendszereit, én azonban egyáltalán nem tartom elképzelhetetlennek, hogy a támadók pontosan az atomerőmű rendszereinek és hálózatainak felépítéséről gyűjtöttek információkat. Ha emlékszünk még a Havex/Dragonfly néven ismertté vált ICS malware-re (amiről szándékaim szerint fogok még hosszabb írni, ha jut majd időm megírni ezt a régen tervezett posztot és több másikat is, amiket az ICS-malware-ek témájában tervezek), az is elsősorban felderítésre használt malware volt és felfedezése után nem is kellett túl sokat várnunk a következő, immár nem csak információk gyűjtését végző ICS malware megjelenésére.
Ami miatt a KKNPP elleni támadás komoly aggodalmakat keltett sok, témával foglalkozó szakértőben, az a következő: a KKNPP hálózatában talált DTrack malware-ben beégetett felhasználóneveket és jelszavakat találtak, amik érvényesek voltak a KKNPP hálózatában a támadás idején, emiatt egyértelmű, hogy célzott támadásról volt szó. A DTrack malware-t a Kaspersky elemzése szerint a Lazarus néven ismert, általában Észak-koreai állami háttérrel rendelkező csoportként szoktak jellemezni, azonban szinte minden, a témával foglalkozó publikációban megemlítik, hogy napjainkban a célzott és kifinomult, ún. APT támadások mögött álló valódi elkövetőket azonosítani meglehetősen nehéz feladat, mert nem jelent komoly nehézséget a támadók számára álcázni valódi kilétüket.
Mindent figyelembe véve egyáltalán nem jelent sok jót, hogy a feltehetően állami/titkosszolgálati támadói csoportok már atomerőművek rendszerei elleni támadások környékén is feltűnnek. Valószínűnek tartom, hogy még akár 2019-ben sem ez az utolsó, ICS rendszerek vagy kritikus infrastruktúrák elleni kibertámadás, amiről beszélnünk kell.
