Támadások ipari vezérlőrendszerek ellen

Share this:

A legtöbb ipari szervezet úgy véli, hogy az ICS hálózaton biztonságba vannak, mivel a fenyegetések leginkább az informatikai hálózatokat veszik célba. Azonban két korábbi kriptovaluta-bányász malware azt mutatja, hogy az ICS hálózatok nem „sterilek”. Ráadásul a tény, hogy ezek az incidensek orosz és európai kritikus létesítményekben zajlottak, megdönti azt a mítoszt hogy az ICS/OT hálózatok „légmentesen zártak”, valamint, hogy a Windows és más gépek a hálózaton védve vannak a malware és egyéb támadásokkal szemben.

  • SCADA (Supervisory control and data acquisition): Központi irányító és adatgyűjtő szoftver (ipari felhasználásra), álltalában egy PC-n vagy más munkaállomáson fut. Rendelkezik grafikus kezelőfelülettel.
  • ICS (Industrial Control System): Ipari vezérlőrendszerek, melyek egy típusa a SCADA is. Gyakran szokták őket együtt ICS/SCADA-nak emlegetni.
  • OT (Operational Technology): Ipari műveletek kezelésére használt számítástechnikai rendszer.

 

A Két kriptobányász incidens dióhéjban

Az első incidenst egy európai vízellátó szolgáltatónál fedezték fel. A jelentések szerint ez az első olyan támadás, ami jogosulatlan bányászprogramokat fedezett fel ICS vagy SCADA szervereken. Az itt talált rosszindulatú programok Monero kriptovalutát bányásztak. A vizsgálat azt mutatta meg, hogy azt a malwaret egy rosszindulatú hirdető weblapról töltötték le. Ez azt sugallja, hogy a vízellátó hálózat üzemeltetője képes volt az interneten elérésére és hozzáfért a veszélyes webhelyhez, ahol kattintott egy linkre, ami letöltötte a bányászkódot a rendszerre.

Eredetileg a kártékony kód a SCADA hálózat vezérlőszámítógépére került elsőként. Ezen Windows XP operációs rendszer futott, aminek a támogatása 2014-ben befejeződött, így nem volt megfelelően javítva (ugyan extended support még létezhet, de akár 250.000 dollárba is kerülhet évente). A Windows XP használata elsősorban annak köszönhető, hogy a SCADA környezetekben gyakori az elavult és nem támogatott operációs rendszerek használata, amiért a rendszerfrissítés működési kimaradásokat és stabilitási problémákat eredményezne, ami nem járható út ipari és ellátási üzemek esetében.

Veszélyes bennfentesek visszaéltek egy nukleáris szimulációkat végző szuperszámítógéppel

A második jelentés Oroszországból jön, ahol számos tudós egy titkos nukleáris robbanófejen dolgozott. Ugyanis innen jeleztek februárban kriptovaluta bányászást. Bennfentesek Oroszország egyik legerősebb szuperszámítógépét próbálták Bitcoin bányászására használni, ami óriási energiát és számítási teljesítményt igényel. Az eseményre csak akkor derült fény, amikor a szuperszámítógépet az internethez próbálták csatlakoztatni, ami riasztotta a nukleáris központ biztonsági részlegét. A biztonság protokoll megtiltotta az ilyenfajta kapcsolatokat a kockázatok elkerülése érdekében.

A fenti eset is jelzi, hogy milyen fontosak a megfelelő biztonsági protokollok, illetve a SCADA rendszerben lévő eszközök elszeparálása a hagyományos IT hálózattól.

 

Ipari szervezetek biztonsági vonatkozásai

1. Ipari irányítási hálózatok elérhetősége

Tíz évvel ezelőtt az elszigetelés üzembiztos stratégiának hangzott: szigeteljük el fizikailag az ICS hálózatot a világtól, szóval nem lesz út a fenyegetések beszivárgásának.

Ez a stratégia már nem helytálló. Az ipari vállalatok új technológiákat vezetnek be, mint az IIoT (Industrial IoT), amik növelik a gyártási hatékonyságot és lehetővé teszik a prediktív karbantartást (paraméterek függvényében becslést ad, hogy meddig használható az eszköz meghibásodás nélkül).

Ezen eszközök elhomályosítsák a határt az IT és OT hálózatok között, emiatt az ICS hálózatokat fenyegetni kezdik a kibertámadások. Ahogy a vízszolgáltatóval kapcsolatos incidensnél láthattuk, egy általános célú (nem ICS specifikus) malware is képes ICS hálózatokat elérni.

Ráadásul az elszigetelt hálózat is ki van téve bizonyos fenyegetéseknek. Mint az orosz példában látható, előfordulhatnak rossz szándékú bennfentesek, vagy akár gondatlan karbantartó csatlakoztathat fertőzött adathordozót vagy mobil eszközt a Windows számítógéphez.

Ebből is lehet látni, hogy napjainkra az ipari hálózatok is kinőttek abból a korból, mikor „fire and forget” jelleggel lehetett telepíteni és utána magukra hagyni őket, így működtetésük során hasonló hozzállás ajánlott, mint a hagyományos IT hálózatokhoz.

2. Az ipari hálózatok nincsenek megfelelően irányítva

Figyelembe véve a kockázatokat, elképzelhető olyan ipari hálózat, ami jól szervezett és védett a nem kívánt szoftverekkel szemben. A valóságban viszont az Indegy (ipari kiberbiztonsági vállalat) gyakran találkozik olyan helyzetekkel, ahol a felvetés messze áll a valóságtól.

A hálózati biztonság javítása érdekében az ipari szervezeteknek rendszeresen kellene sérülékenységvizsgálatot végezni és biztonsági frissítéseket telepíteni a számítógépekre (a frissítések auditjára remek lehetőséget nyújt az IT hálózat, ahol könnyen lehet pár végpontos „pilot” teszteléseket végezni. Általában a nagyobb cégek végponti architektúrája homogén, így ami klienskörnyezetben működik, az valószínűleg SCADA munkaállomásokon is).

3. A Proaktív intézkedések hiánya miatt az ICS hálózatok veszélynek vannak kitéve

Amíg a számítógépek frissítése, egy általános gyakorlat az IT világában, a ICS-ek esetében nem mindig történik ez meg. A vezérlőgépek olyan folyamatokban vehetnek részt, ahol nem megengedett a rendszerszünet. Vegyünk például egy olaj -vagy gáztermeléssel foglalkozó vállalatot: nem lehet leállítani a turbinákat, vagy csővezetékeket amiért érkezett egy frissítés. A rendszerstabilitás és a biztonság hasonló prioritást élveznek.

A frissítetlen rendszerekkel azt kockáztatják, hogy a vezérlői vagy mérnöki munkaállomásokat exploitálnak malware támadással. A fertőzött munkaállomások kártékony utasításokat küldhetnek a vezérlőknek, megszakítva a termelést és korlátozva a folyamatok átláthatóságát.

Ez azt jelenti, hogy amikor megfertőznek egy ICS hálózatot, a Windows gépek hackelése nagyobb nehézséget jelent, mint utána átvenni az irányítást a kontrollerek felett. A kontrollerek általában nincsenek védve titkosítással, hitelesítéssel, jogkörökkel vagy más általános biztonsági intézkedéssel. Úgy véljük, hogy az ICS specifikus fenyegetések – mint a Triton malware – egyre gyakoribbá válnak.

 

Jobb átláthatóság és ellenőrzés szükséges

Azért, hogy az ICS hálózatokat megvédjük a tervezett kibertámadásoktól és a vezérlésre szolgáló rendszerekbe se engedjünk be nem kívánatos szoftvereket, a kritikus infrastruktúra szolgáltatóinak és az ipari szervezeteknek jobb rálátás szükséges az eszközparkjukra.

A jó biztonsági stratégia felépítéséhez szükséges tudni az eszközök gyártóját, modellek nevét, firmware verziókat, utolsó frissítéseket és jelenlegi konfigurációkat minden eszközre vonatkozóan. Ez magába foglalja az automatizált vezérlőket, amelyek felelősek a fizikai folyamatok kezeléséért, valamint az üzemeltetők által használt szervereket. A veszélyeztetett eszközök automatizált leltározásán alapuló eszközlista létfontosságú lehet azon biztonsági rések felfedezéséhez, amelyek veszélyt jelenthetnek az eszközökre és telepíthetik a szükséges biztonsági frissítéseket.

Az automatizált leltár mellett itt is a bevált recept érvényesül: újgenerációs tűzfal, proaktív észlelési és elemző SIEM eszközök alkalmazása, amik az ipari szervezetet megvédhetik a külső és belső kibertámadásoktól. Emellett pedig nem megvetendő egy árnyék infrastruktúra kialakítása sem, melyen lehet teszteni az esetleges frissítések hatását az eszközök kommunikációján.

 

Forrás: https://blog.indegy.com/ics-network-malware

Other Posts