Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonsági incidensek II

2022. március 05. - icscybersec

Az elmúlt hetekben-hónapokban sajnos kevesebb időm volt a blogra, ezért ebben az (éppen csak elkezdett) sorozatban feltorlódtak az incidenesek, amikről írnom kellett volna. Aztán Oroszország megtámadta Ukrajnát és 1-2 nappal később már a történelem első hibrid háborúját figyelhettük, ahol a mindenféle hátterű és motivációjú és szervezettségtű támadók (köznapi néven hackerek) az állami intézmények és (főként orosz) bankok mellett gyorsan rátaláltak a különböző (jellemzően szintén orosz) kritikus infrastruktúrához sorolt cégek Internetről elérhető ICS rendszereire és szépen, sorban elkezdték feltörni őket. Így a mai posztban az ilyen-olyan (háborúhoz kapcsolódó vagy attól - talán? - független) incidensek linkjei mögött a saját, témával kapcsolatos gondolataim lesznek olvashatóak.

Kibertámadás érte a Fehérorosz állami vasúttársaság rendszereit

Ransomware-támadás Nyugat-európai olajterminálok ellen:
SecurityAffairs
SecurityWeek

Zsaroló-vírus támadás érte a SwissPort repülőtér-üzemeltető cég rendszereit:
SecurityMagazine
SecurityWeek
Cyber Security Intelligence

VPNFilter, 2022-ben - új malware-t terjeszt a VPNFilter mögött álló (feltételezetten APT) csoport:
https://www.securityweek.com/new-cyclops-blink-malware-linked-russian-state-hackers-targets-firewalls

Ezek történtek 2022. január-februárban, majd jött az orosz-ukrán háború és számos ICS rendszert ért támadás. Ezzel kapcsolatban egy (közel sem teljes) lista:
- Nogir (gázipari cég Észak-Oszétiában)
- Az Orosz Tudományos Akadémia Nukleáris Biztonsági Kutatóintézete
- Újabb támadás érte a fehérorosz vasúti rendszereket, leállt a vasúti közlekedés (beleértve az orosz csapatok Fehéroroszország irányából, vasúton történő ukrajnai bevonulása is)
- Feltörték és leállították az orosz közlekedési rendszer hálózatát, nem lehetett vonat- és buszjegyeket venni
- Moszkvában benzinkutak rendszerein a támadók háborúellenes üzeneteket jelenítettek meg;
- Az orosz energiaszektorban számos ICS rendszert ért támadás;
- Bár (tudomásom szerint) nem érintettek ICS rendszereket, mégis fontos megemlíteni, hogy betörtek a Gazprom és a Rosatom rendszereibe is. Ezeknek a támadásoknak a pontos hatása nem ismert, de ha "csak" adatokat vittek el, már az is mélységesen aggasztó.
- Vagy az ukrajnai háborúhoz kapcsolódó incidens vagy nem, de kibertámadás érte a Toyota egyes beszállítóinak (GMB Corp., Kojima Industries) rendszereit, ezért leálltak a Toyota Japánban található üzemei (összesen 14 gyáregység).
CyberScoop
SecurityMagazine
The Register

A fentieken túl még számos más incidens volt, ezeket most gyűjteni is nehéz, nemhogy feldolgozni, utánanézni. Az egyik nagy közösségi média felületén szerveződött egy csoport (főleg) a háború kiberbiztonsági témáinak megvitatására (köszönet ezért Frész Ferinek és a csoport tagjainak), ott a tagok igyekeznek minden releváns információt megosztani, de ez még egy viszonylag nagy csoport számára is elég komoly feladat.

Ami pedig még inkább aggasztó szerintem, hogy mostantól várhatóan nem lesz olyan fegyveres konfliktus (és valószínűleg még az sem kell majd hozzá sok esetben), hogy különböző hátterű és motivációjú támadók (egyének vagy csoportok, hacktivistáktól a kiberbűnözőkön át az állami hátterű APT csoportokig) egyre bátrabban támadjanak kritikus infrastruktúrákat és ipari folyamatirányító rendszereket, hiszen most sokan kifejezetten drukkolnak az ATW/BlueHornet, NB65 és más neveken futó, ICS rendszereket támadó csoportoknak. Valószínűnek tartom, hogy ez a folyamat javulni nem, inkább csak romlani fog, vagyis az ICS rendszerek (eddig sem kicsi) kiberbiztonsági kockázatai csak romlani fognak, méghozzá gyorsan.

Mit lehet tenni ez ellen? Több, mint 6 éve írom ezt a blogot és kb. az első posztok egyikében már írtam arról (majd később még számtalanszor), hogy az első és legfontosabb az lenne, hogy az ipari folyamatirányításban használt rendszerek külső (publkus) hálózati kapcsolatait (Internet-kapcsolatait), ha lehetséges, az üzemeltetők számolják fel, ha pedig nem lehetséges, minimalizálják (fehérlistákkal) a legszükségesebbekre. A most látott, ICS rendszerek elleni támadások szinte mindegyikét megelőzhetőnek gondolnám, ha nem kötöttek volna SCADA és egyéb ICS rendszer komponenseket az Internetre. Tovább rontotta ezeknek a rendszereknek az ellenálló-képességét, hogy gyakran bizony gyári, alapértelmezett jelszavak használata is feltételezhető. Ezek olyan hibák, amik nem törvényszerűek, nem kötelező ilyen konfigurációval futtatni ezeket a rendszereket. Sajnos attól tartok, ezekből az esetekből sem a megfelelő következtetéseket és tanulságokat fogják levonni az illetékesek. Az orosz-ukrán háború ismét sokkal veszélyesebb hellyé tette a világunkat és nem csak a fegyveres harcok (pl. a zaporizzsjai atomerőmű elleni támadások) miatt - azok előbb vagy utóbb, így vagy úgy, de véget fognak érni. A megnövekedett ICS biztonsági kockázatok viszont hosszú távon velünk fognak maradni.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4617772436

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása