Az ICS cyber security blog vendégposztja:
Kibertámadás érte a Colonial Pipeline rendszereit
2021. május 08. – icscybersec
Számos hírforrás hozta le a mai nap folyamán a hírt, miszerint kibertámadás érte a Colonial Pipeline nevű amerikai cég (amely naponta közel félmillió liter üzemanyagot szállít csővezetékein) rendszereit pénteken. A támadás (egyelőre ransomware-támadásról lehet hallani) „egyes IT rendszereiket” érte, és „elővigyázatosságból ideiglenesen leállították bizonyos rendszereiket, köztük egyes, a csővezetékek üzemeltetésében érintett rendszereket is.”
További részletek egyelőre nem ismertek, de az már a tavalyi évben is tisztán látszott, hogy már nincs olyan iparág, amit ne vennének célba a különböző ransomware-ek – vajon a magyar vállalatok mennyire felkészültek az ilyen fenyegetésekre?
Szerk (2021.05.10.): Még mindig keveset tudunk, de egy ismerősömtől (aki igencsak otthonosan mozog az USA kritikus infrastruktúrájának kiberbiztonsági kérdéseiben) azt a véleményt hallottam, hogy az ügyviteli IT rendszerek érintettsége (ha például a üzemanyag-kereskedéshez használt rendszerek is érintettek) miatt is dönthettek úgy, hogy inkább leállítják a csővezeték rendszer irányításáért felelős rendszereket és ezzel magát a vezetékeket is. Egy ilyen döntéshez az én meglátásom szerint nagyon komoly pénzügyi kockázatelemzési képességekkel kell rendelkezni, hiszen az egyik kockázatot (a teljes csővezeték leállítása okozta pénzügyi veszteséget) kell szembeállítani a másik kockázattal (a nem működő kereskedéshez használt rendszer nélkül történő üzemanyag-szállításból eredeztethető anyagi veszteséggel). A forrásom szerint egyébként nem ez az első ilyen, csővezeték-hálózat IT/OT rendszereit érintő kiberbiztonsági incidens.
Ezzel párhuzamosan a blogon már jó néhányszor hivatkozott Robert M. Lee is megszólalt az incidens kapcsán, a Twitteren az alábbiakat írta (nem szoktam angol forrásokat hosszan idézni a blogon, de ebben a gondolatmenetben több olyan dolog is megjelenik, amikről a következő hetekben lehetne és kéne kicsit részletesebben írni – remélem lesz időm, de ha bárkinek van ehhez vagy bármelyik másik részhez kapcsolódóan véleménye, csak bátran, akár a kommentek között is elindulhat egy érdekes beszélgetés):
„In my opinion there’s some bad takes out there but overall it’s completely reasonable that folk are paying attention. This is the most disruptive incident we’ve seen on US energy infrastructure from cyber instrusions. Colonial Pipeline is the victim and has done a lot right. They contacted a top tier incident response firm (FireEye/Mandiant) for the enterprise compromise (only IT impacted it seems) to lead the response. They informed the USG [US Government – szerk.] who had great folks form CISA/FBI/DOE supporting. They focused on safety and took operations down proactively.
Congress and others will reasonably ask: „If a criminal can do this, what more could a state adversary do?” While we should avoid hype this is a very reasonable question. The reality is our infrastructure is undergoing a rapid digital transformation. While the ransomware was confined to IT this could have been much worse if it had hit OT and at Dragos we have handled such cases and they candidly suck. AS our industries change the historical mindset of „segment and disconnect OT” just isn’t practical in most cases. 75+% of many of the standards/regulations/frameworks/etc. push for preventive controls (segmentation, authentication, anti malware, patching, etc.) all good controls but that leaves an under investment in detection and response. As our infrastructure changes, so will our threats.
What we see most commonly is without visibility and monitoring in OT networks the preventive controls are not applied everywhere and atrophy over time unkowningly to the defenders. Many realize this though. The current White House administration has rightfully pushed for a 100 day action plan to encourage visibility, detection, and response enchancements in OT in the electricity sector and likely following suit in water and natural gas to raise awareness.
To the practitioners out there thinking about their OT networks I would encourage engaging firms with OT/ICS incident response experience. Conduct a TTX to reherse. Use burn down to do an Architecture Review of what you have today and it’s state. Then move into monitoring in OT. For the executives out there realize your IT and Security staff are usually already under invested in. Picking up a whole new mission set with focus (OT) requires additional resources. Elevate the conversation in your org and invest in your people to enable your business.”
Szerk2: A hírek továbbra is csordogálnak, most a Waterfall és a Dragos incidenssel kapcsolatos posztjaiba futottam bele, mint érdekesebb forrásokba illetve egy hazai, légiközlekedéssel foglalkozó oldal, az AirPortal.hu cikke érdekes még, ami szerint a Colonial Pipeline ideiglenes csővezeték-leállítása már 2-3 nap után komolyan érezteti a hatását az USA egyes déli és keleti szövetségi államaiban található repülőterek kerozin-ellátásában.
Még egy érdekesség: Miközben a Dragos blogposzt linkjét kerestem, találtam egy másik, 2020. elején született írásukat, ahol egy földgáz szállításra használt másik csővezetéket üzemeltető vállalat elleni ransomware-támadásról írnak (ez annak idején az én figyelmemet is elkerülte). Szóval a forrásomnak teljes mértékben igaza volt, amikor azt mondta, nem ez volt az első eset, amikor az USA energiaszektorában használt csővezetékeket üzemeltető céget ért zsarolóvírus-támadás.
***
A vendégposzt eredetije az ICS cyber security blogon jelent meg.