Alig két hete jelent meg a Forescout-hoz tartozó Verdere labor munkatársainak tanulmánya arról, hogyan támadta meg a TwoNet néven ismert, a feltételezések szerint oroszpárti hacktivista csoport az egyik, viziközmű ICS/OT rendszernek felépített honeypot-jukat.
A riport szerint a támadók képesek voltak nemcsak a bejelentkezési felületet megváltoztatni (deface-elni), hanem módosították a PLC-k beállításait, majd megzavarták a vezérelt folyamatokat és lehetetlenné tették a mérések valósidejű frissítéseit, valamint kikapcsolták a rendszerből az operátor felé küldött riasztásokat és naplózást.
A jelentés kitér arra is, hogy a megtámadott rendszer HMI-jének élő Internet-kapcsolata volt és a gyári, alapértelmezett jelszóval lehetett rá bejelentkezni, ami két olyan biztonsági hiányosság (nevezhetném hanyagságnak is valódi folyamatirányító rendszerek esetén), amiről legalább 10-15 éve beszél a szakma, hogy ez az egyik alapvető dolog, amit soha ne tegyenek az ICS/OT rendszereket tervező és építő mérnök kollégák. Ennek ellenére mind a mai napig ezrével lehet ilyen rendszereket találni az Interneten (elég csak a Sector16 által "meglátogatott" magyar rendszerekre gondolni).
Az is egyértelműen látszik, hogy az elmúlt 15 évben az ICS/OT rendszerek elleni sikeres támadáshoz szükséges szakértelem belépő szintje nagyon sokat csökkent, a Stuxnet-nél vagy az ukrán áramszolgáltatók elleni támadásoknál még komoly titkosszolgálati háttérrel kellett rendelkezni egy sikeres támadáshoz, ma pedig már hacktivisták is képesek lehet gyengén védett ipari folyamatirányító rendszerekben sikeres beavatkozást végigvinni.
A konkrét, Vedere Labs által ismertetett eset meglehetősen kettős, mert egyrészt a támadók sikeresek voltak még a fizikai folyamatvezérlés módosításában is, ugyanakkor azt nem vették észre, hogy nem egy valódi viziközmű ICS/OT rendszerben garázdálkodnak, hanem egy honeypot rendszerben. Ez a tény azért kétségeket ébreszt a felkészültségük valódi mélységeit illetően (ugyanakkor nem győzöm eléggé hangsúlyozni, hogy a tény, hogy a célba vett rendszert teljes mélységében képesek voltak irányítani, éppen elég ijesztő, függetlenül attól, hogy a mostani áldozatuk egy honeypot volt - ugyanilyen könnyen találhatnak maguknak más fontos, Interneten elérhető rendszert, ami viszont már éles lesz)
