Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára

2020. január 10. - icscybersec

Azzal, hogy az elmúlt egy hétben megint a világ egyik legfontosabb témájává vált az amerikai-iráni viszony és feszültség, engem is megkerestek azzal a kérdéssel, hogy ennek lehet-e hatása a kritikus infrastruktúrák illetve más ICS rendszerek kiberbiztonságára. Ahogy a hírekben olvasható volt, többen számítottak arra, hogy Szulejmáni tábornok halálát az irániak nem (vagy nem csak) fizikai támadásokkal próbálják majd megbosszulni, hanem a kibertérben is támadásokat indítanak egyes amerikai kritikus infrastruktúra elemek ellen. Olyannyira komoly fenyegetésként kezelték/kezelik ezt a lehetőséget, hogy konkrétan tudok olyan európai közműszolgáltatóról, ahol ennek nyomán magasabb szintre emelték a készenlétet.

Mivel sok időm erre a posztra sajnos nincs, ezért csak két dologra térnék ki részletesebben:

1. Az iráni bosszúhadjárat gyakorlatilag már az Irakban található, amerikai haderő által is használt légibázisok elleni rakétatámadások előtt megindult, de amerikai kormányzati szervek (pl. a Federal Depository Library Program) weboldalai ellen indított deface-támadások valószínűleg inkább írhatóak az iráni hazafias hackerek számlájára, mint az iráni hátterű APT-csoportokéra (amikből szintén akad néhány, pl. a Magnallium/APT33).

Az ilyen támadások véleményem szerint, bár nyilván problémát jelentenek, egy ország szempontjából nem minősülnek komoly támadásnak, inkább arra jók, hogy a másik oldal (ebben az esetben Irán) fel tudjon mutatni valamilyen gyors és kockázatmentes választ, ami javítja a morált és minimálisan megfelel a tömegek feltüzelt bosszúvágyának).

2. A kritikus infrastruktúrák/ICS rendszerek elleni támadások szerintem nem valószínű, hogy (ha egyáltalán lesznek) az elkövetkező napokban fognak bekövetkezni. Egy ICS rendszer elleni támadás (az eddig tapasztalatok alapján) minden esetben hosszú hónapok előkészítő munkáját igénylik (emlékeztetőül, az ICS Cyber Kill Chain két fázisa külön-külön is több hetes, hónapos műveleteket jelenthetnek), ezért én két forgatókönyvet tudok elképzelni. Az első szerint az iráni APT-csoportok már hosszabb ideje hozzáféréseket szereztek egyes amerikai kritikus infrastruktúrák rendszereihez és ezeket felhasználva nagyon gyorsan képesek megszervezni és kivitelezni az ICS rendszerek (és/vagy az általuk vezérelt fizikai folyamatok) elleni támadásokat. A második forgatókönyv pedig az, hogy most kezdik el célzottan felderíteni az általuk fontosnak tartott és támadni kívánt rendszereket, ebben az esetben azonban hónapok vagy akár évek múlva számíthatunk komolyabb zavarokat okozó eseményekre. Én személy szerint inkább ez utóbbira számítok.

Ahogy Magyarországon, úgy az USA-ban is sok helyen cikkeztek a témáról a sajtóban, a SecurityWeek cikkében nyolc szakértő (a CyberX, a Dragos, a Nozomi Networks, a CrowdStrike, a Claroty, a Synopsys CyRC és a Lastline munkatársait) véleményét foglalja össze.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr715401902

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

GABOR2 2020.01.10. 13:42:28

Hi! Te vagy a ritka kivétel aki beszámol erről. Az angol nyelvű források teli vannak a kibertámadás veszélyével, Magyarországon csak a portfolio-t láttam megkésve írni róla.

Én is írtam róla, hogy kitöltsem az űrt:

ujtechkor.blog.hu/2020/01/07/az_irani_bosszu_amirol_a_magyarok_nem_hallhatnak_es_egy_szanalmas_osztrak_onfenyezes_digitalis_orsza

Egyébként pedig az amerikai belbiztonsági hivatal kiadott egy figyelmeztetést, hogy az iráni hackerek valóban képesek átmeneti fennakadásokat okozni kritikus amerikai infrastruktúra-elemekben. Viszont most nem tették meg, mert nem akarnak rontani a helyzeten.

thehill.com/policy/cybersecurity/476987-dhs-issues-bulletin-warning-of-potential-iranian-cyberattack

GABOR2 2020.01.10. 13:56:19

Egyébként tavaly már az USA tett lépéseket, hogy jobban legyen védve, de nem valami újabb biztonsági szoftverrel, hisz azok nem igazán nyújtanak védelmet, hanem vissza vettek a digitalizáltságból.

itcafe.hu/hir/usa_elektromos_halozat_analog.html

A sebezhetőség problémáját máshogy nem lehet megoldani.

icscybersec 2020.01.10. 19:18:39

@GABOR2: Szia! Igen, valóban furcsa, hogy itthon ennek az incidensnek a kibertér-műveleti része mennyire nem került felszínre (pedig lassan már itthon is minden üzemzavar, működési probléma mögött kibertámadást és hackereket vélnek felfedezni). Mindenképp örömteli, hogy nem vagyok egyedül az ilyen témájú irások terén.

Ami az iráni APT csoportokat illeti, az biztos, hogy jók. Nagyon jók. Én azonban úgy vélem, hogy (együtt az Észak-koreaiakkal) ők valahol a 1,5-2. ligában játszanak, az "elitbe" pedig az USA, Oroszország, Kína, Izrael és talán a brit állami hátterű csoportok tartoznak. Kétségtelen, hogy a kibertér-képességeket nagyságrendekkel könnyebb és olcsóbb felfejleszteni, akár egy kisebb országban is, ha mást nem, hát zsoldosokat alkalmazva (erről még tavaly olvastam egy egészen jó cikket: www.reuters.com/investigates/special-report/usa-spying-raven/), de ha az ember sokat olvas a különböző állami hátterű csoportok TTP-iről, akkor át lehet látni, hogy azok, akiket az "elithez" soroltam, egészen más szinten űzik ezt az ipart.

Ezzel együtt az USA-ban egyre komolyabban veszik a kiberbiztonsági kockázatokat, különösen ami a kritikus infrát illeti, nem utolsó sorban az olyan embereknek köszönhetően, mint Joe Weiss, Robert M. Lee, Mike Assante (RIP) és sokan mások, akik másfél-két évtizede dolgoznak ezen a területen.

icscybersec 2020.01.10. 19:23:07

@GABOR2: Ami a manuális vezérlésre történő visszaállást, mint tartalék tervet illeti, emlékszem, ez először még a 2015-ös ukrán áramszolgáltatók elleni támadás után merült fel (itt írtam is róla: icscybersec.blog.hu/2016/05/21/manualis_vezerles_mint_alternativ_megoldas_ics_rendszerek_elleni_tamadasok_eseten) és persze én is olvastam az általad hivatkozott kongresszusi dokumentumot. Amennyire emlékszem, ez még csak arra vonatkozó határozat, hogy az illetékes szervek kezdjék meg a felméréseket és teszteket a manuális vezérlés, mint fallback-megoldás használatára vonatkozóan. Ez persze hasznos és jó, de tartom, amit írtam 2016-ban, hogy több problémával is szembesülni fognak, amikor ezt megpróbálják átültetni a gyakorlatba. Nyilván mindenre lehet megoldást találni, de ez néha bizony azt fogja jelenteni, hogy alaposan újra kell tervezni dolgokat és hozzá kell nyúlni az elmúlt 10-20 évben dogmává kövült nézetekhez is.

logiman 2020.01.10. 20:34:20

@icscybersec: "...alaposan újra kell tervezni dolgokat és hozzá kell nyúlni az elmúlt 10-20 évben dogmává kövült nézetekhez is."

Ez elkerülhetetlen. Már csak az a kérdés, hogy még minek kell történnie ahhoz, hogy ezt azok is meghallják, belássák, akiknek dolga lenne e fejleményeket rendszerében szemlélve időben megfelelő döntéseket hozni.

De sajnos van egy olyan rossz érzésem, hogy egy nagyon-nagyon szűk szakmai körön kívül nem is nagyon ismerték fel ennek szükségességét...

Miért kell megvárni, hogy benézzen a ló az ablakon?!...

GABOR2 2020.01.14. 13:22:31

@icscybersec: " Szia! Igen, valóban furcsa, hogy itthon ennek az incidensnek a kibertér-műveleti része mennyire nem került felszínre"

Talán azért, mert ezerrel építjük a digitális államot és ha azt látnák, hogy máshol amiatt, hogy nem tudják megvédeni mekkora pánikolás van, itthon kellemetlen kérdésekre kéne felelniük... mint például, hogy annak fényében, hogy nem tudnánk megvédeni, miért építjük ki. Tavaly már pl. beteg adatokat is elloptak, pedig hogy bizonygatták, hogy ez nem fog megtörténni...

"azok, akiket az "elithez" soroltam, egészen más szinten űzik ezt az ipart."
Mert náluk vannak az infrastruktúra fontos elemei, plusz ők maguk gyártják sokszor a terméket. Ettől persze még van ezer más út, ahogy kárt lehet okozni.

Kösz a neveket, meg linkeket, majd átnézem őket.

GABOR2 2020.01.14. 13:49:48

@logiman: "De sajnos van egy olyan rossz érzésem, hogy egy nagyon-nagyon szűk szakmai körön kívül nem is nagyon ismerték fel ennek szükségességét..."

Mert a vezetők öregek és azt látták egész életükben, hogy az a helyes válasz, hogy mindenre amit a techcégek kitalálnak igent kell mondni és ez sokáig igaz is volt. Mostmár viszont elég sok a rossz ötlet, de ők már nem tudnak változtatni az eredeti berögződésen.
süti beállítások módosítása