Karácsony előtt írtam róla, hogy 2015 december után 2016-ban is volt egy komoly üzemzavar az ukrán villamosenergia-rendszer. Az S4x17 konferencián a napokban újabb információk láttak napvilágot, ezek alapján egy több bizonyíték van arra, hogy ismét kibertámadás okozta az üzemzavart, ezúttal a támadók az alállomási RTU-k vezérléséhez szereztek hozzáférést és ezeket működtetve okozták az üzemzavart.
Több híroldal is arról írt tegnap, hogy ukrán kiberbiztonsági szakértők az elmúlt hetekben végzett vizsgálatok alapján arra a következtetésre jutottak, hogy az újabb incidens mögött is orosz támadók állnak (volt, ahol egyenesen úgy fogalmaztak, hogy ugyanazok a támadók, akik a 2015-ös incidens előidézéséért voltak felelősek).
Az S4x17-en Marina Krotofil, egy ukrán származású, jelenleg a Honeywell-nél dolgozó ICS kiberbiztonsági szakértő felvetette annak a lehetőségét, hogy a támadók az ukrán villamosenergia-rendszert egyfajta tesztkörnyezetként használják és itt tesztelik a kritikus infrastruktúrák elleni támadási módszereiket. Marina egy előre rögzített videófelvételt is lejátszott, amiben egy másik ukrán kutató, Oleksii Yasynskyi több kiberbűnözői csoport együttműködéséről beszélt. Azt is megemlítették, hogy a jelek szerint ugyanezek a támadók voltak felelősek az elmúlt időszakban több értékes célpontot (pl. ukrán pénzügyi szektorban működő szervezetek, az ukrán pénzügyminisztérium és az államkincstár rendszereit) ért támadásokért.
A szakértők szerint a 2016-os incidens a 2015-ösnél is összetettebb volt, a támadók különböző csoportjai magas szinten működtek együtt az egyes részfeladatok végrehajtása során. Maga a támadás utolsó fázisa a vizsgálatok szerint 2016. december 6-tól 20-ig tartott, de az első fázis már július 14-én egy célzott adathalász e-mail elküldésével megkezdődött. Az így szerzett jogosultságokkal és legitim adminisztrátori eszközök használatával a támadók igyekeztek minél több jelszó összegyűjteni a célba vett szerverekről és munkaállomásokról, majd ezek birtokában olyan, komoly szakmai hozzáértést igénylő egyedi malware-eket készítettek, amivel a már a fontosabb rendszereket vették célba. A támadás korai fázisában használt makrovírus is komoly hozzáértést igénylő munka volt, az elemzések szerint a kód 69%-a arra szolgált, hogy minél nehezebb legyen értelmezni azt, 30%-a az utólagos elemzés nehezítését szolgálta és csak 1%-a szolgálta a célba vett rendszer kompromittálására használt malware elindítását. A malware működése során is kiemelt figyelmet fordítottak arra, hogy minél nehezebb legyen kielemezni a működését, ennek érdekében például a malware különböző memóriaterületekre írja be magát és egyszerre mindig csak azokat a részeit csomagolja ki, amelyekre a működés adott fázisában szüksége van.
Az egy évvel korábbi támadáshoz hasonlóan most is felmerült a gondolat, hogy a támadás az azt végrehajtók képességeinek demonstrálására szolgált. Marina Krotofil szerint ezt támasztja alá az is, hogy a támadásnak nem voltak hosszan tartó, drámai hatásai, pedig a támadóknak lehetőségük lett volna sokkal nagyobb üzemzavart is előidézni.
Bár a részletes elemzésekhez még több időre lesz szükség, az már most látszik, hogy a kritikus infrastruktúrák elleni kifinomult támadásoknak egyre nagyobb a kockázata és a bekövetkezési valószínűsége is folyamatosan nő. Minél jobban kéne felhasználni a még rendelkezésre álló időt minden kollégának, aki ilyen szervezetek kiberbiztonságáért felel.
Szerk: Ma hajnalban lehozta a hírt a The Register is. Normális esetben csak simán behivatkoznám a cikket a poszt végére, de ennek a cikknek a lábjegyzetében megjelent néhány olyan gondolat, ami mellett nem tudok szó nélkül elmenni. Bár az igaz, hogy az ukrán villamosenergia-rendszer elleni támadásokat minden jel szerint komoly technikai tudással és erős (szinte biztosan állami) háttérrel rendelkező profik hajtották végre, az az állítás, hogy az ipari vezérlő rendszerek nagyfokú bonyolultságuk, szabadalmaztatott és gyakran nem dokumentált protokolljaik miatt az ipari rendszerek szakértőin kívül mások számára nem érthetőek, nem jelent semmilyen védelmet. Ez a hozzáállás már 10 évvel ezelőtt sem jelentett megbízható védelmet az ICS rendszerek számára, a Stuxnet óta eltelt időszakban látott újabb és újabb incidensek, különösképpen pedig a két ukrán incidens rámutat arra, hogy egyre nagyobb a veszélye és a valószínűsége további támadásoknak.
Szintén érdekes és vitatható az az állítás, hogy a támadók számára problémás lenne az ukrán incidensek előidézése során gyűjtött tapasztalatok felhasználása az USA villamosenergia-rendszere elleni támadások során. Nyilván az ukrán és a különböző amerikai szervezetek (erőművek, rendszerirányítók, áramszolgáltatók) rendszereiben jelentős különbségek lehetnek, azonban az alkalmazott eszközök közötti eltérések csak a támadások felderítési fázisait tolja ki időben, ha képzett támadóknak elég idejük van feltérképezni a célba vett hálózatot és rendszereket, akkor a jelenlegi helyzetben lehetőségük lehet módot találni egy komoly károkkal járó üzemzavar előidézésére.
Az első és legnehezebb lépés a kritikus infrastruktúrák biztonságosabbá tételéhez vezető úton, hogy belássuk, milyen komoly kihívásokkal nézünk szembe és szakítsunk a régi beidegződésekkel és tagadás helyett nézzünk szembe a problémával.
Szerk: A SecurityWeek.com január 19-én megjelent cikkében már arról ír, hogy az Ukrenergo, az ukrán villamosipari rendszerirányító hivatalos közleményében megerősítette, hogy kibertámadás okozta a december 17-i üzemzavart.