Ismét mérföldkőhöz érkezett a blog, fennállása során először egynél több szerzője van a mai posztnak, a mai írást GéPé kollégával közösen követtük el.
Múlt héten pénteken a Miami székhelyű Kaseya VSA nevű felhős (Software-as-a-Service) megoldásán keresztül a REvil/Sodinokibi néven ismert, ransomware-ekkel operáló kiberbűnözői csoport több ezer, főként Nyugat-európai és amerikai vállalat rendszereit kompromittálta. Az érintett cégek között több Managed Service Provider (vagyis mások számára IT szolgáltatásokat biztosító) cég is megtalálható (az elérhető információk szerint a Kaseya SaaS-megoldását előszeretettel használják MSP-k), emiatt az érintett cégek pontos számát még most, egy héttel az incidens kirobbanása után sem könnyű még csak megbecsülni sem.
Felmerülhet a kérdés, hogy mi köze van ennek az ICS rendszerekhez vagy úgy általában a fizikai folyamatokhoz? Nos, a támadás-sorozat egyik áldozata a svédországi Coop kiskerlánc, akiknek az üzleteikben (mintegy 500 szupermarketben) használt fizetési megoldásaik és önkiszolgáló kasszáik váltak használhatatlanná az incidens következtében - amikor pedig a lakossági élelmiszerellátásban fennakadásokat okoz egy ransomware-támadás, azt már (szerintem) tekinthetjük a kritikus infrastruktúra elleni támadásnak, még ha nem is bizonyítható, hogy ez lett volna a támadók kifejezett célja. Egy másik áldozat a szintén svéd államvasutak, szóval bár a közvetlen ICS érintettségről továbbra sincs információnk, ahogy azt a Colonial Pipeline incidens is megmutatta, nem csak a közvetlenül az ICS rendszereket érintő incidensek lehetnek elképzelhetetlenül káros hatással az általunk ismert civilizáció korábban megkérdőjelezhetetlen alapvetéseire (aki szerint ez erősen túlzó kijelentés, nézze csak meg azokat a felvételeket, amikor a Colonial Pipeline elleni ransomware-támadás utáni üzemanyaghiánytól félve egyes amerikai benzinkutaknál már nejlonzsákokba töltötték az üzemanyagot).
Több forrás szerint is a támadók a Kaseya egy 0-day sérülékenységét kihasználva indították el a mostani, tömeges fertőzéseket okozó kampányukat. Ezzel kapcsolatban az első érdekes kérdés, hogy vajon mennyire kell jól szervezettnek lennie egy szervezett bűnözői csoportnak, hogy egy ennyire összetett és jó koordinációs (már-már azt is mondhatnánk, jó projektmenedzseri) képességeket tudjanak felmutatni, ami ahhoz kell, hogy egy ilyen műveletet sikerre tudjanak vinni? Ilyet eddig csak APT-csoportoktól láttunk. Persze azt a lehetőséget sem szabad azonnal elvetnünk, hogy a 0-day és a szervezés mögött egy nemzetállami hátterű APT-csoport áll, a REvil/Sodinokibi csoport illetve a váltságdíj-követelés pedig csak a "front", a hihető tagadás álcája a némelyek által kiberháborúnak nevezett konfliktus-sorozat újabb állomásánál.
Ezzel az incidenssel viszont igazolódni látszik az a feltételezés, amiről néhány hete jelent meg poszt a blogon: még ha lesz is (akár bilaterális, akár globális) megállapodás arról, hogy milyen iparágakban, milyen szervezetek rendszereit nem szabad kibertámadásokkal zaklatni, egyes hatalmak könnyedén megtalálhatják a módot arra, hogy kiberbűnözői csoportok mögé bújva továbbra is támadásokat intézzenek akár a nemzeti kritikus infrastruktúrában megkerülhetetlen cégek rendszerei ellen. Mi fog történni akkor, ha ezek a cégek a mostanihoz hasonló, tömeges támadások kereszttüzében találják magukat? Képesek lesznek hatékonyan védekezni? Kapnak majd bármilyen támogatást az állami szervektől, különösen akkor, ha ezekhez az illetékes állami szervekhez órák vagy napok alatt több tucat vagy akár 100-200 hasonló segítségkérés fog befutni?
A SolarWinds/Orion után a Kaseya incidens megmutatta, hogy technológiailag nincs akadálya országos vagy akár több kontinensre kiterjedő és tömeges – azaz áldozatok százainak, vagy akár ezreinek működését megzavaró – támadások indításának. Nincs az az ország, amelynek illetékes szolgálatai és szakirányú vállalkozásai rövid időn belül képesek lennének egy ilyen masszív, tömeges támadás valamennyi áldozatának párhuzamos kezelésére, majd a biztonságos üzletmenet helyreállítására.
Márpedig amennyiben Kaseya VSA-felhasználói között véletlenül kritikus infrastruktúrák – de akár „csak” beszállítói, szolgáltatói – is szerepelnek, akkor az ő működési zavaruk előbb-utóbb a kritikus infrastruktúra működését is megakaszthatja. A kritikus infrastruktúrák összefüggéseinek egyik ismert ábrázolása szerint:
Ahogy a Colonial Pipeline incidens megmutatta, már egyetlen zsarolóvírus is elég volt az USA keleti parti üzemanyag ellátásának – és ezzel az üzemanyagfüggő ágazatoknak (pl. áruszállítás vagy légiközlekedés) – alapvető és több hetes megzavarásához. Az erőművek üzemanyagellátása a „megszokott” „csöves” helyett tartálykocsis szállítással volt fenntartható. Azaz bizonyos szempontból még az amerikai villamosenergia-rendszer beszállítói lánca is jelentős veszélyben forgott.
És gondoljunk bele: ez csak egyetlen céget érő egyetlen zsarolóvírus következménye volt.
Mi történne, ha egy SolarWinds/Kaseya-jellegű, de a kritikus infrastruktúrák szempontjából „fájóbban” célzott támadás történne?
Abban bízunk, hogy ez a gondolatsor illetékes hazai fejekbe is befészkeli magát…
Néhány szerintünk érdekesebb publikáció a Kaseya-incidensről az elmúlt egy hétből:
