Ahogy az elmúlt években egyre több és több incidens történt ICS/OT rendszerekkel illetve ilyen rendszereket használó ipari szervezetekkel és egyre több hír lát napvilágot az ICS/OT kiberbiztonság témájában, úgy próbáltam újra és újra valamilyen általánosabb poszt-sorozatot kitalálni és elindítani, amiben röviden, csak 1-2-3 mondatban összefoglalni az adott hír vagy esemény lényegét és kvázi link-gyűjteményként kezelni ezeket a posztokat. Aztán mindig odáig fajultak a dolgaim, hogy ezeket nem tudtam értelmesen fenntartani. Most újabb próbát teszek, havonta egy posztot tervezek, amiben összegyűjtöm az adott hónap kevésbé fajsúlyos eseményeit, incidenseit és híreit.
Incidensek
Hyundai Motor Europe ransomware-támadás
A Black Basta ransomware-csoport támadása még januárban történt a Hyundai Motor európai rendszerei ellen. Azzal kapcsolatban, hogy a támadás érintette volna az autógyártó folyamatirányító rendszereit, nem áll rendelkezésre információ. Források:
SecurityAffairs.com
DarkReading.com
Varta gyárleállások kibertámadás után
Február 13-án 5 Varta üzem állt (Németországban, Romániában és Indonéziában) le egy 12-én történt kibertámadás után. A Vartától származó információk szerint az IT rendszereiket érintette a támadás és jelenleg nincs arra vonatkozó információ, hogy az ICS/OT rendszereket érintette volna az incidens. Források:
Cactus ransomware-támadás a Schneider Electric rendszerei ellen
Még január 17-én a Cactus ransomware-csoport támadást intézett a Schneider Electric fenntarthatósági üzleti részlegének rendszerei ellen, majd februárban vállalták is a felelősséget a támadásért. A rendelkezésre álló információk alapján nem lehet tudni arról, hogy a Schneider Electric által gyártott ICS/OT megoldásokhoz kapcsolódó adatokat érintette-e az incidens. Források:
SecurityAffairs
SecurityWeek
DarkReading
PSI ransomware-incidens
A németországi PSI ICS/OT-gyártó rendszereit ért támadásról február 15-én adtak hírt először. A PSI állítása szerint az ügyfeleik rendszereihez rendelkezésükre bocsátott távoli eléréseket az incidens nem érintette. Forrás:
Helyreállás a Johnson Controls ransomware-támadás után
A Johnson Controls még 2023 szeptemberében szenvedett el ransomware-támadást, az abból történő helyreállítás DarkReading-en megjelent cikk szerint 27 millió amerikai dollárba került a cégnek.
Fulton megye (Georiga állam, USA) áramkimaradás
Georgia állam az elmúlt időszakban kibertámadások egész sorozatát élte át, ez január végén már áramkimaradásokat is okozott. Egy cikk szerint ez akár azzal is összefüggésben lehet, hogy egy Georgia-i kerületi ügyész az, aki a 2020-as amerikai elnökválasztás során vádat emelt Donald Trump és 18 másik ember ellen, bár erre vonatkozó bizonyítékokat eddig nem publikáltak. Forrás:
Southern Water kibertámadás
A brit Southern Water nevű viziközmű cég elismerte, hogy még januárban ügyfeleik 5-10%-át érintő kibertámadás érte a rendszereiket. A támadásért a hírek szerint a Black Basta ransomware-csoport lehet a felelős, bár a Southern Water még mindig nem hozott nyilvánosságra részleteket az incidenssel kapcsolatban. Forrás:
Hírek
Volt Typhoon
Február első felében a kiberbiztonsági hírek egy jelentős része a Volt Typhoon néven emlegetett, feltételezhetően kínai hátterű APT csoport amerikai kritikus infrastruktúra-rendszerek elleni támadásairól szóltak. Először WiFi-routereket kompromittáltak, majd ezekből továbblépve villamosenergia cégeket, viziközmű vállalatokat, katasztrófavédelmi rendszert más kritikus infrastruktúrák rendszereit támadták, egyebek mellett Guam szigetén. A támadások súlyát jól jelzi, hogy a DHS CISA, az NSA és a FBI közös figyelmeztetést adtak ki február 7-én. Ráadásul február végén érkezett a hír, hogy a Volt Typhoon APT csoportnak van (lehet) egy olyan részlege, ami kifejezetten OT rendszerekre specializálódott (ezt nevezi a Dragos Voltzite-nak).
Források:
Cyber Security Intelligence
eSecurityPlanet
SecurityWeek
The Hacker News
Graham Cluley blogja
CyberScoop
Még egy CyberScoop
DarkReading
Még egy DarkReading
DarkReading (Voltzite)
The Register
Orosz áramszolgáltató hack
Egy 49 éves orosz állampolgárt készülnek vád alá helyezni egy oroszországi erőmű elleni kibertámadás vádjával, ami 38 faluban okozott áramkimaradásokat Vologda körzetében még 2023 elején. Forrás:
Karbantartás OT biztonsági kockázatai
A tajvani TXOne Networks nevű cég az OT kiberbiztonság egyik feltörekvől megoldás-szállítója. Február eleji publikációjukban az OT cégek karbantartási feladataival kapcsolatos OT biztonsági kockázatokról írnak. Forrás:
Kaspersky ICS biztonsági előrejelzések 2024-re
A Kaspersky január legvégén publikálta a már szokásosnak tekinthető ICS/OT biztonsági előrejelzését az idei évre. A riportban a növekvő számú ransomware-támadásokról, a világpolitikai eseményekre reflektáló hactivista-támadásokról és a logisztikai/szállítmányozási szektor elleni támadások természetében megfigyelhető változásokról is írnak. Forrás:
