Az ICS cyber security blog vendégposztja:
Újabb ICS biztonsági incidensek: Kibertámadás érte egy floridai kisváros vízellátó-rendszerét
Valamint ransomware-támadások áldozata lett a WestRock nevű csomagolóanyagokat gyártó cég és a Forward Air Corporation nevű szállítmányozó vállalat is.
2021. február 13. – icscybersec
Az elmúlt néhány napban sajnos nem volt elég időm a blogra, de a floridai Oldsmar nevű kisváros vízművében történt ICS biztonsági incidens mellett nem lehet elmenni szó nélkül (főleg, hogy erről viszonylag gyorsan egyes magyar híroldalakon is jelentek meg hírek). Ezek a cikkek egészen jól feldolgozták az eseményeket, így én inkább azt nézném meg, hogy mit is jelentenek ennek a támadásnak a jelenleg ismert részletei.
1. Bár maga az incidens súlyos (a támadó több, mint százszorosára emelte a vízmű ICS rendszereiben szerzett jogosultsággal a vízhez adagolt nátrium-hidroxid mennyiségét), de az eddig megismert részletek alapján a kibertámadás nem volt sem kifinomult, sem összetett. A támadó (vagy támadók), a rendelkezésre álló információk szerint egy, a vízműben dolgozó felügyelők (mérnökök) által üzemszerűen a távoli hozzáférésre használt TeamViewer alkalmazáson keresztül fértek hozzá a vízmű ICS rendszereihez, a TeamViewer-hez pedig egyetlen jelszót használt több felhasználó is.
2. Ráadásul a TeamViewer egy Windows 7 operációs rendszert futtató számítógépre volt telepítve (ahogy azt még a magyar cikkek is kihangsúlyozzák, a Windows 7 már több, mint egy éve nem rendelkezik gyártói támogatással, de ez a legtöbb ipari szervezetet nem nagyon zavarja, főleg, mert még mindig több Windows XP-t futtató számítógépet használt a folyamatírányátáshoz, mint Windows 7-et).
3. Ha a korábbiak nem lettek volna elég elrettentőek, akkor további adalék, hogy a TeamViewer-t futtató Windows 7 tűzfallal sem volt leválasztva az Internetről.
4. Az már csak az OSINT iránt érdeklődők számára csemege, hogy az érintett vízműben használt HMI-ról és annak konfigurációjáról könnyedén lehet szabadon elérhető információkat találni. (Szerk.: Időközben a képet a mckimcreed.com-ról eltávolították, de a lényeg, hogy kint volt. A konkrét kép egyébként a Google Cache-ben még elérhető… Ezért kell óvatosnak lenni a megosztott információk terén.)
Ez az incidens tehát (megint hangsúlyozom, az ebben a pillanatban rendelkezésre álló információk alapján) egy alkalom szülte eset, amit akár egy kezdő script-kiddie is összehozhatott.
Gyorsan fussunk is át azon, mik azok az alapvető intézkedések, amiket ajánlott minden ICS rendszereket használó szervezetnek alapvető biztonsági ökölszabályként kezelni:
1. Az ICS rendszereket le kell választani a külső és különösen a publikus hálózatokról – ha máshogy nem megy, hát megfelelően konfigurált tűzfalakkal!
2. A vállalati/irodai/ügyviteli és ICS hálózatokat szintén le kell választani egymástól és kizárólag a szükséges hálózati forgalmakat szabad engedélyezni a minimálisan szükséges mértékben!
3. Távoli hozzáférésre biztonságos módszereket (VPN, több faktoros authentikáció, stb.) használva szabad engedélyt adni.
4. Ragaszkodni kell (az elszámoltathatóság információbiztonsági alapelvéhez ragaszkodva) a személyhez köthető egyedi hozzáférések használatához és a minimális jogosultság elvéhez!
5. Kontrollálni kell és minimálisra kell szorítani a folyamatírányátáshoz használt rendszereinkről nyilvánosan megjelent információkat!
Nyilván ez az 5 pont korántsem fog minden támadástól megvédeni, de egy hasonló incidenst már jó eséllyel meg lehet előzni ezeknek a szabályoknak, elveknek a betartásával.
Ransomware-támadások amerikai ipari szereplők ellen
A hírek szerint még január 23-án ransomware-támadás érte a WestRock nevű amerikai vállalatot, ami csomagolóanyagok, főként hullámpapír gyártásával foglalkozik. Az incidens az ügyviteli/irodai rendszereik mellett a gyártásautomatizálásban használt rendszereket is érintette. A vállalat meglehetősen szűkszavú az esettel kapcsolatban, de az alapján, hogy az incidens elérte az OT rendszereiket is, mindenképp súlyos incidensről lehet szó.
Egy másik híradás szerint még tavaly decemberben történt zsarolóvírus-támadás a Tennesse állambeli Forward Air Corporation nevű szállítmányozó cég rendszereiben. Az incidens az USA tőzsdei felügyeleti szerveként működő SEC közlése szerint legalább 7,5 millió amerikai dollárnyi kárt okozott a FAC-nek. Bár az incidensről kevés részletet lehet tudni (még az sem nyilvános, melyik ransomware a felelős), annyit lehet tudni, hogy a FAC már képes volt a működéséhez szükséges rendszereket helyreállítani.
***
A vendégposzt eredetije az ICS cyber security blogon jelent meg.