Szinte napra pontosan két éve kétszer is írtam arról, hogy cryptovaluta-bányász malware-eket találtak ICS rendszerekben. Ez a fajta fenyegetés, bár mostanában a zsarolóvírusok (ransomware-ek) mintha nagyobb kockázatokat jelentenének az ICS rendszereket üzemeltető szervezetek számára, nem tűntek el, bár a különböző cryptovaluták árfolyamainak kilengéseitől függően változhat, mennyire érdemes ilyen támadásokat indítani. Egyes biztonsági kutatók szerint az ICS rendszerek továbbra is potenciális célpontjai lehetnek a cryptovaluta-bányász malware-ek fejlesztőinek, elsősorban azok a rendszerek, amelyek az Interneten is elérhetőek, dacára azoknak a tanácsoknak, amiket az ICS biztonsági szakértők mindig elsőként említenek: ne csatlakoztassunk ICS rendszereket publikus hálózatokra! (Elég csak elolvasni a BlackCell ICS/OT Snapshot 2019 címmel publikált tanulmányát, ami első alkalommal, kifejezetten az Interneten elérhető magyar ipari folyamatirányító rendszereket és eszközöket kereste és vizsgálta.)
Egy másik ok, ami miatt az ICS rendszerek (és itt most elsősorban a SCADA rendszerekre érdemes gondolni) vonzó célpontot jelenthetnek cryptovaluta-bányász malware-ek számára, az a SCADA rendszerekbe gyakran beépített tetemes performancia-tartalék lehet. Szemben a folyamatirányítási világban használt céleszközök (RTU-k, PLC-k, stb.) tervezésével, a SCADA rendszereket előszeretettel méretezik jelentősen nagyobbra, mint amekkora a várható terhelésük lesz. Ez viszont azt is jelenti, hogy ha ezt a performancia-tartalékot észrevétlenül ki lehet használni, akkor jelentős hasznot is generálhatnak a támadók számára - azzal a kockázattal pedig a támadók nem fognak foglalkozni, hogy mi történhet, ha a rendszer valamilyen rendkívüli esemény miatt nagyobb teljesítmény igénnyel találja magát szembe és emiatt például megnőnek a válaszidők.
Emellett a SCADA rendszerek átlagos áramfelhasználása általában is elég maga, ezért sokszor nem is foglalkoznak vele, így nehéz lehet észrevenni a megnövekedett terhelést és azzal járó fogyasztást. Ugyanígy, a rendszerterhelésre figyelő monitoring sem olyan fejlett a legtöbb esetben, mint azt sokan gondolnák, így ez sem segít gyorsabban azonosítani egy ilyen incidenst.
Mit kellene tenniük az ICS rendszereket üzemeltető szervezeteknek a folyamatirányításban használt rendszereik elleni cryptovaluta-bányász malware-ek jelentette fenyegetések elhárítására?
1. Nem lehet elégszer ismételni: Ne csatlakoztassunk ICS rendszereket az Internetre! Ha mindenképp szükséges távoli elérést biztosítani a szervezet egyes munkatársai vagy külső támogatói számára ezekhez a rendszerekhez, akkor telepítsünk egy megbízható (és lehetőleg több faktoros authentikációt használó) VPN-szolgáltatást a távoli hozzáférésekhez!
2. Alkalmazzunk átfogó és alapos monitoring megoldást és beállításokat (nem csak az ICS rendszerek esetén, de ezeknél mindenképp)!
Ezen két intézkedésen túl számos más fejlesztéssel lehet javítani az ICS rendszerek kiberbiztonsági helyzetén, de már ez a két intézkedés is jelentősen csökkentheti az ipari folyamatirányító rendszerekre leselkedő, cryptovaluta-bányász malware-ek jelentette kockázatokat.