Az elmúlt években a különböző (szakmai és mainstream) sajtóorgánumok újra és újra szenzációként hozták le, amikor ipari rendszerekben vagy kritikus infrastruktúrák egyes rendszereiben fedeztek fel malware-eket. Ezek döntő többsége nem az ipari rendszerek elleni célzott támadáshoz fejlesztett malware-ek voltak, általában egy-egy általános kártevő talált magának utat az ICS rendszerekig. Egy másik látható tendencia, hogy különböző IT biztonsági területen tevékenykedő cégek kezdik felkapni az ICS biztonság témáját, gyakran nagyobbnak mutatva a veszélyt, mint amekkora az valójában.
Ezek a körülmények késztették a Dragos Inc. alapítóját, Robert M. Lee-t a MIMICS (Malware In Modern Industrial Control Systems) projekt elindítására. A MIMICS publikus adatokból (pl. a VirusTotal-ra feltöltött fájlok elemzéséből) próbál adatokat leszűrni az ICS rendszerekben felfedezett malware-ekre vonatkozóan. Ennek a kutatásnak az első fázisáról jelent meg a héten egy blogpost, ami három jelentős megállapítást tartalmaz:
1. A nem célzott, általános IT malware-támadások száma az ICS rendszerekben nagy
A kutatás első fázisában a Dragos munkatársai 2003-tól napjainkig mintegy 30.000 mintát találtak olyan fertőzött fájlokból, amik ICS rendszerekhez tartoznak. Ezek között a legnagyobb számban a gyorsan terjedő malware-családok képviselői (pl. Ramnit) találhatóak, jóval kisebb számban találhatóak meg a különböző trójaiak, amik viszont már hozzáférést is adhatnak támadóknak a megtámadott ICS rendszerhez, amennyiben azoknak van Internet-kapcsolatuk. Az utóbbi kategóriába tartozó malware-ek, bár nem célzott támadások eszközei, mégis jelentős negatív hatásuk lehet az ipari rendszerekre/kritikus infrastruktúrákra.
Az elemzés alapján éves szinten nagyjából 3000 ipari helyszínen tűnhetnek fel tradícionális IT malware-ekre visszavezethető, nem célzott támadásból származó fertőzések. Ezek az incidensek még nem jelentik azt, hogy az ipari környezetekben/kritikus infrastruktúrákban bármelyik pillanatban katasztrófa történhet, de az ICS rendszereket üzemeltetőknek tudniuk kell, hogy egyszerű biztonsági eszközök és eljárások (pl. hálózatbiztonsági monitoring) bevezetésével jelentősen javítani tudják az ICS rendszerek biztonsága mellett a megbízhatóságukat is.
2. A célzott, ICS rendszerek elleni malware-támadások nem is olyan ritkák
Bár a kifejezetten ICS rendszerek ellen készült malware-ek száma alacsony, nyilvánosságra mindmáig csak három (Stuxnet, Havex, BlackEnergy2) került és további egyről vagy kettőről lehet pletykákat hallani, illetve az elmúlt évben két proof-of-concept malware-ről röppentek fel hírek, a Stuxnet nagyon magasra tette a mércét az ICS rendszerek támadására kialakított malware-ek esetén. Az érem másik oldala, hogy az ukrán áramszolgáltatók elleni 2015 decemberi támadás megmutatta azt is, hogy egy támadónak nem szükséges magas szinten specializált malware-t használni ahhoz, hogy komoly üzemzavart tudjon előidézni egy ipari rendszerben.
Az ICS rendszerekre szabott malware-ek egy kis csoportját képezik az ICS témájú malware-ek, azok a kártevők, amiket a támadók legitim ICS alkalmazásnak álcáznak, így próbálva rávenni az ICS rendszerek felhasználóit és üzemeltetőit. A kutatás során az egyik vizsgált feltételezés az volt, hogy sok IT biztonsági cég nem tudják, mit kell keresniük, hogy meg tudják különböztetni a legitim szoftvereket az ICS témájú malware-ektől. A Dragos munkatársai vagy egy tucatnyi ICS témájú malware-támadással kapcsolatban találtak információkat. Ebből a tucatnyi malware-ből az egyik különösen érdekes volt, ez Siemens PLC vezérlő szoftvernek álcázta magát és először 2013-ban tűnt fel. Több különböző antivirus gyártó terméke fals pozitívnak jelezte ezt a malware-t és az elmúlt 4 évben végül 10 különböző helyen tűnt fel, legutóbb most, 2017 márciusában - vagyis 4 évvel az első feltűnése után egy magát Siemens PLC szoftverként feltűntető malware még mindig aktív fertőzéseket tud okozni. A konkrét eset részleteinek kiderítésén a MIMICS kutatásban résztvevők jelenleg is dolgoznak. Ez persze nem egyedi eset, ráadásul Európában a különböző kritikus infrastruktúráknak csak az EU NIS nemzeti jogrendszerekbe illesztése fogja előírni a kiberbiztonsági incidensek jelentésének kötelezettségét, így még csak megtippelni sem lehet, hogy jelenleg vajon hány európai ipari rendszerben észlelhetnek malware-támadásokat - és hány ilyen támadás történhet meg úgy, hogy észre sem veszik?
3. Üzemeltetés biztonsági problémák
A kutatás következő hipotézise szerint számos legitim ICS szoftverkomponenst sorolhatnak be malware-ként a különböző antivirus rendszerek, amikor valaki helytelenül feltölti őket a VirusTotal-ra vagy más, hasonló nyilvános adatbázisba. A kutatás során több ezer különböző ICS szoftverkomponenst találtak ezekben adatbázisokban, többek között HMI, történeti adatbázis-telepítőket, de több mint száz különböző projektfájlt és számos, ICS rendszerrel kapcsolatos jelentést (köztük az USA Nukleáris Szabályozó Bizottságának, az NRC-nek a jelentéseit is!). Nagyon fontos következtetésnek tűnik, hogy az ICS rendszereket üzemeltető szervezetek IT biztonságért felelős munkatársai számára egyértelmű információkat kell biztosítani a legitim szoftverekről (az egyszerűbb tulajdonságoktól egészen a fájlok checksum-jaiig) és mik azok az állományok, amiket nem szabad feltölteni az Internetre (ezzel is csökkentve annak az esélyét, hogy egy támadó hozzájuthasson egy, a szervezet által használt fájlhoz, hogy a későbbi támadása előtt tanulmányozhassa azt).