Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Kibertámadás ért egy indiai atomerőművet

2019. november 02. - icscybersec

Ezen a héten kedden, október 29-én érkeztek az első hírek arról, hogy a legnagyobb indiai atomerőművet, a Tamil Nadu tartományban található Kudankulam Atomerőművet (Kudankulam Nuclear Power Plant, KKNPP) kibertámadás érte. Az illetékesek először kategórikusan tagadták az incidens megtörténtét. Október 30-án azonban a Nuclear Power Corporation of India Ltd. (NPCIL) nevű indiai állami atomenergia vállalat megerősítette, hogy szeptember elején valóban történt egy incidens, amikor a Kaspersky Lab által szeptember közepén publikált elemzésben leírt, DTrack néven hivatkozott, elsősorban ATM-ek ellen használt malware fertőzött meg legalább egy számítógépet az KKNPP hálózatában.

A Kaspersky elemzése szerint a DTrack malware billentyűzet-leütés naplózásra, böngésző-előzmények mentésére, IP címek és egyéb, hálózati információk gyűjtésére, a futó folyamatok listázására és a megfertőzött számítógépen található fájlok listázására is képes volt.

Fentiekből elég jól látható, hogy a DTrack inkább egy felderítésre (is) használható malware-nek látszik. Az indiai illetékesek szerint (akik persze többé-kevésbé ugyanazok, akik egy napig vehemensen tagadták, hogy bármilyen incidens történt volna), a malware-támadás nem érintette az atomerőmű irányítástechnikai rendszereit, én azonban egyáltalán nem tartom elképzelhetetlennek, hogy a támadók pontosan az atomerőmű rendszereinek és hálózatainak felépítéséről gyűjtöttek információkat. Ha emlékszünk még a Havex/Dragonfly néven ismertté vált ICS malware-re (amiről szándékaim szerint fogok még hosszabb írni, ha jut majd időm megírni ezt a régen tervezett posztot és több másikat is, amiket az ICS-malware-ek témájában tervezek), az is elsősorban felderítésre használt malware volt és felfedezése után nem is kellett túl sokat várnunk a következő, immár nem csak információk gyűjtését végző ICS malware megjelenésére.

Ami miatt a KKNPP elleni támadás komoly aggodalmakat keltett sok, témával foglalkozó szakértőben, az a következő: a KKNPP hálózatában talált DTrack malware-ben beégetett felhasználóneveket és jelszavakat találtak, amik érvényesek voltak a KKNPP hálózatában a támadás idején, emiatt egyértelmű, hogy célzott támadásról volt szó. A DTrack malware-t a Kaspersky elemzése szerint a Lazarus néven ismert, általában Észak-koreai állami háttérrel rendelkező csoportként szoktak jellemezni, azonban szinte minden, a témával foglalkozó publikációban megemlítik, hogy napjainkban a célzott és kifinomult, ún. APT támadások mögött álló valódi elkövetőket azonosítani meglehetősen nehéz feladat, mert nem jelent komoly nehézséget a támadók számára álcázni valódi kilétüket.

Mindent figyelembe véve egyáltalán nem jelent sok jót, hogy a feltehetően állami/titkosszolgálati támadói csoportok már atomerőművek rendszerei elleni támadások környékén is feltűnnek. Valószínűnek tartom, hogy még akár 2019-ben sem ez az utolsó, ICS rendszerek vagy kritikus infrastruktúrák elleni kibertámadás, amiről beszélnünk kell.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr2515278174

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása