Közel egy éve, még 2025 június elején jelent meg az FBI figyelmeztetése, amiben a SuperBox nevű streaming eszközökből épülő BadBox 2.0 botnet veszélyeire hívták fel a figyelmet. Az FBI publikációjában szereplő információk már magukban is elég súlyosak voltak (biztonsági szempontból), de amit ehhez a múlt hét közepén megjelent Darknet Dairies epizód (a 172.) tett hozzá ehhez, kifejezetten ijesztővé tette ezt a történetet.
A történet új fejezete ott kezdődött, amikor egy D3ada55 nevű biztonsági kutató elkezdte vizsgálni az édesapja által vett SuperBox-ot és általános, IoT készülékekre jellemző biztonsági problémák (azonnali és rendszeres kommunikáció kínai - Tencent - szerverek felé, súlyosan elavult - 2021-es - verziójú Android operációs rendszer használata) mellett más aggasztó viselkedést is talált:
- A SuperBox agresszíven (gyakorlatilag ARP flood-olva) scannel-te a hálózatot, amire csatlakoztatták (ilyet egyébként én is láttam már, hálózatra csatlakoztatott Samsung okostévé is folyamatos port scan-ekkel vizsgálat a hálózatomat - amíg fel nem figyeltem rá, azóta ezt már nincs módja megtenni);
- Ipari protokollok ismert sérülékenységeit próbálta kihasználni! Nem csak felderítést és információgyűjtést végzett, hanem aktívan vadászott ipari rendszerekre!
Az esetnek további, veszélyes részleteiről is szó esett a fenti adásban.
Ezeket a SuperBox streaming eszközöket számos áruházban (Amazon, BestBuy, Walmart) meg lehet vásárolni jelenleg is (nyilván főleg az USA-ban, de pl. az Amazon miatt kb. bárhol a világon) és aktívan promótálják is őket, egyes influenszerek 50%-os jutalékért reklámozzák ezeket az eszközöket. Ráadásul voltak olyan esetek, amikor ipari kritikus infrastruktúráknál dolgozó emberek megrendelés nélkül kaptak csomagokat, amikben SuperBox eszközök voltak - tegyük a szívünkre a kezünket, vajon 10 emberből hányan kezdenének gyanakodni egy "potya" streaming eszköz esetén és hányan kezdenék megvizsgálni, pontosan mit is csinál egy ilyen "potya" eszköz működés közben?
Fel lehet tenni a kérdést, hogy mi köze lehet egy streaming eszköznek az ICS/OT rendszerek biztonságához? A válasz (szerintem) ijesztőbb, mint a legtöbben gondolnánk. Nagyon régóta és az ipari folyamatirányítási rendszereket használó szervezetek számára széleskörűen probléma, hogy a mérnöki notebook-ok biztonságát hogyan lehet biztosítani? A különböző automatizálási rendszerek alacsony szintű berendezéseinek (basic process controll eszközök, PLC-k, RTU-k, védelmek, szenzorok, stb.) konfigurálásához használt számítógépeket a mérnököknek (különösen az adott szervezetnek külsősként, gyártói/integrátori támogató mérnököknek) számos különböző hálózatba csatlakoztatniuk kell az eszközeiket, ügyeletesi, készenlétesi feladatok esetén nagyon gyakran az otthoni hálózataikba is. Ezután pedig már nem nehéz belátni, milyen félelmetesen nagy kockázatokat jelent, ha az otthoni hálózatban működik egy ipari rendszereket keresgélő (és sérülékenységeiket kihasználni próbáló) kompromittált eszköz. Arról már ne is beszéljünk, hogy az ilyen IoT megoldások egyre gyakrabban találnak utat a vállalati hálózatokba is, ez pedig, figyelembe véve, hogy még 2026-ban is milyen komoly hiányosságokkal küzd az ipari rendszerek hálózatszegmentálása, szintén elég jó megmutatja, milyen veszélyei lehetnek egy ilyen, kompromittált eszköznek.
