Gyűjtögető kiberbűnözők a gyárban
Az ipari környezetek eredményes védelméhez a vállalatoknak nemcsak saját adataik, hálózatuk és rendszereik, hanem teljes IIoT-ökoszisztémájuk kiberbiztonságáról gondoskodniuk kell.

 

Bár férgeket és bothálózatokat vetnek be továbbra is a dolgok internetén indított kampányaik zömében a kiberbűnözők, a célzott támadásokban utazó elkövetők egyre gyakrabban új eszközökhöz folyamodnak. Kártékony kód helyett a kiszemelt áldozat informatikai környezetében talált, legitim szoftvereket használják fegyverként, és mind többször fordul elő, hogy a közvetlen károkozás szándékával lépnek fel, adatlopás, kémkedés helyett egyenesen az ipari vezérlőrendszereket veszik célba.

Miután 2017-ben robbanásszerűen, 600 százalékkal nőtt a dolgok internete (IoT) ellen irányuló kibertámadások száma, az intenzitás tavaly sem hagyott alább – derült ki a Symantec idei kiberbiztonsági jelentéséből (2019 Symantec Internet Security Threat Report), amely külön fejezetben foglalkozik az IoT és ezen belül az ipari IoT környezeteket érő támadásokkal. A kiberbiztonsági cég a világ 157 országában 123 millió érzékelőn keresztül figyeli a hálózati eseményeket, és szolgáltatásaival naponta 142 millió támadást hiúsít meg. A begyűjtött és elemzett adatok alapján immár 24. alkalommal készítette el éves jelentését, amelyben a fenyegetési környezetet formáló és a kiberbűnözői tevékenységet motiváló trendeket összegzi.

Havonta átlagosan 5 200 IoT-támadást észlelt a Symantec 2018 folyamán is, ami mindössze 0,2 százalékos csökkenést mutat az egy évvel korábbi szinthez képest. Az esetek több mint 90 százalékában útválasztókat (routereket) vagy hálózatra csatlakozó kamerákat vettek célba a kibertámadók, és ugyanilyen magas arányban a Telnet hálózati protokollon és porton keresztül próbáltak hozzáférni az IoT-eszközökhöz – ez utóbbi 50 százalékos növekedést mutat a megelőző évi adathoz képest.

Az IoT-támadások közel negyede (24 százalék) Kínából indult, de az Egyesült Államok (10,1 százalék) és Brazília (9,8 (százalék) is dobogós lett, a negyedik Oroszország (5,7 százalék) jóval lemaradt mögöttük. A kártékony szoftverek listáját a Linux.Lightaidra és a Linux.Kaiten féreg (a támadások 31 százalék körüli arányával) vezeti, míg az elosztott túlterheléses (szolgáltatásmegtagadáshoz vezető, DDoS típusú) támadások hírhedt hőse, a Linux.Mirai 15,9 százalékkal harmadikként futott be.

A folyamatosan mutáló Mirai változatai már 16 különböző sérülékenységet használnak ki a fertőzéshez, mivel az IoT-eszközök szoftvereit sok felhasználó továbbra is rendszertelenül vagy egyáltalán nem frissíti, azokra nem telepíti a javításokat. Aggasztó az is, hogy a támadások negyedében-harmadában még mindig nevetséges jelszavak és felhasználónevek (pl. 123456, root, admin, system, password, shell, enable) „védik” az IoT-eszközöket az illetéktelen hozzáféréssel szemben.

Talált szoftverből fegyver

Gyakrabban érte kibertámadás a múlt év folyamán az ipari vezérlőrendszereket (ICS-eket) is, figyelmeztet jelentésében a Symantec. A hasonló támadások már korábban is nagy port kavartak, elég, ha felidézzük az ukrán energiaszektorban működő SCADA rendszerek ellen 2016-ban bevetett Disakil vagy az iráni urániumdúsító berendezések PLC-it 2010-ben célba vevő Stuxnet számítógépes trójai vírusok pusztítását. Tavaly azonban a Triton csoport a Trisis nevű trójaival az ICS-ek egy speciális típusát, a SIS rendszereket (safety instrumented system) fertőzte meg, amire eddig nem volt példa. A SIS-ek a kritikus fontosságú ipari rendszerek működését monitorozzák, és a kockázat növekedésére utaló értékek – például a túl magas hőmérséklet vagy nyomás – mérése esetén automatikusan elindítják a biztonságos működés visszaállításához szükséges folyamatokat. Alternatív programsorok hozzáadásával a Trisis ezeket a lépéseket összezavarja, ami katasztrofális következményekkel járhat.

 

A cégek többsége most teszi meg az első, elszántabb lépéseket a kockázatok csökkentésére

 

A dolgok internetén megszokott DDoS támadásokhoz és kriptopénzbányászathoz képest az IoT-fenyegetések továbbfejlődését mutatta a 2018-ban felbukkant VPNFilter is, amelyet fejlesztői többféle robbanótöltettel is elláttak. Közbeékelődéses (man in the middle) támadással férkőzik hozzá a hálózati adatforgalomhoz, azonosítókat lop, információkat szűr ki, elfogja a SCADA rendszerek kommunikációját, és a kiberbűnözők utasítására téglává változtatja a megfertőzött eszközöket, minden adatot töröl róluk, hogy elkerülje a későbbi lebukást, illetve megnehezítse a helyszínelést. A VPNFilter ráadásul a rendszerek újraindítását is túléli, így nagyon nehéz tőle megszabadulni.

Távközlési műholdak kerültek 2018-ban a Thrip csoport célkeresztjébe, amelynek ténykedésére januárban derített fényt a Symantec egy délkelet-ázsiai szolgáltatónál. Bár a kémcsoport egy korábban ismeretlen kártékony szoftvert (Infostealer.Catchamas) próbált meg telepíteni az áldozat hálózatában, ehhez a Microsoft Sysinternals PsExec eszközét használta. A PsExec parancssori hibaelhárító eszközt a rendszerfelügyeletet ellátó informatikai szakemberek széles körben használják, hogy folyamatokat futtassanak, utasításokat hajtassanak végre távoli számítógépeken.

A PsExec mellett a kiberbűnözők előszeretettel fegyveresítik a Microsoft PowerShell parancssori rendszerfelügyeleti eszközét, valamint az Office-fájlokat, pontosabban a rövid programkódokat (makrókat), amelyekkel a felhasználók automatizálják a fájlokban, például az Excelben gyakran végzett feladatok lépéseit. Tavaly nem kevesebb, mint ezer százalékkal nőtt a rosszindulatú PowerShell szkriptek (az adminisztrátori részfeladatok automatizálására szolgáló rövid programok) száma, és a kártékony kódot rejtő email-csatolmányok körében is 5-ről 48 százalékra ugrott az Office-dokumentumok aránya – miközben a szoftverszállítók által még nem javított, ún. nulladik napi sérülékenységeket erre a célra fejlesztett kártevővel kihasználó kiberbűnözők tábora egy év alatt 27-ről 23 százalékra szűkült.

Jelentésében ezt a trendet a Symantec a Gallmaker csoport példájával illusztrálja, amely már egyáltalán nem fejleszt kártékony szoftvert, célzott támadásaihoz kizárólag a széles körben elérhető, legitim szoftvereket használja. A módszert – amelyet a kiberbiztonsági cég a gyűjtőgető-vadászó életmódhoz hasonlít – különösen veszélyessé teszi, hogy ugyanezeket a szoftvereket a megtámadott vállalatok alkalmazottai, rendszerei is használják a napi munka, működés részeként. Tavaly a Symantec havonta átlagosan 115 ezer rosszindulatú PowerShell szkriptet blokkolt például, de ez a szám a teljes PowerShell-használat mindössze 1 százalékát teszi ki. A rosszindulatú tevékenység így beleolvad a legitim folyamatok tengerébe, ezért a kiberbiztonsági cég szerint csak a legfejlettebb analitikai képességekkel, mesterséges intelligenciával felvértezett kibervédelmi megoldásokkal észlelhető időben.

Egyedülálló járműipari tudásbázis a Zala Zone
Rövidesen a befejező szakaszához érkezik a Zala Zone zalaegerszegi járműipari tesztpálya építése - jelentette be Palkovics László innovációs és technológiai miniszter pénteken, a pályán rendezett nemzetközi online konferencián.
Újra kell értékelni a globális beszállítói láncokat
Német közgazdászok a gazdaság fokozatos újraindítását részesítik előnyben a járványvédelmi korlátozások feloldásával, hangsúlyozzák azonban az ifo gazdaságkutató intézet felmérésében, hogy újra kell értékelni a globális beszállítói láncok szerepét.
A Brnói Vásárvállalat szeptembertől folytatja a megszakadt szezont
"Remélem, hogy az elkövetkező hónapokban a Cseh Köztársaságban és egész Európában rendeződik a helyzet, és augusztus végétől újraindíthatjuk a vásári szezont."- mondja Jiří Kuliš ügyvezető igazgató a Brnói Vásárvállalat jelenlegi helyzetéről.
E-Paper: a napfényben is optimálisan olvasható kijelző
A már-már valóban papírvastagságú E-Paper kijelzők a maguk magas felbontásukon és rugalmasan kialakítható szegmentált vagy grafikus kijelzésükön felül, tökéletesen láthatóak még a legerősebb közvetlen napfényben is.
Partnerkapcsolati központ mobil eszközökre
Az ABB Electrification új online platformot indított Connect Partner Hub néven, ahol ügyfelei közvetlen kapcsolatba léphetnek kulcsfontosságú szakemberekkel, például rendszer integrátorokkal, illetve közvetlenül hozzáférhetnek az ABB Ability digitális megoldásaihoz és szolgáltatásaihoz.