A Dragos, egy amerikai kiberbiztonsági cég tavaly decemberben figyelt fel egy újszerű zsarolóprogram  megjelenésére, melynek a Snake, illetve EKANS (a Snake fordítottja, mivel azt a nevet viselő program már létezik) nevet adták.

A malware különlegessége, hogy speciálisan ipartelepek támadásához hozták létre, legalábbis erre enged következtetni a rendszer részleteinek elemzése.

Az EKANS működése nem kifejezetten bonyolult, a többi zsarolóprogramhoz hasonlóan titkositja a fájlokat, megtagadva a hozzáférést, majd a képernyőn megjeleníti a zsarolólevelet, mely részletezi a támadók feltételeit. Az üzenet leírását követve a tulajdonosok visszaszerezhetik az irányítást, de ehhez meg kell vásárolniuk a titkosítást feloldó kulcsot a megadott email címet használva. A kiberbűnözők még azt sem felejtik el hozzátenni, hogy reményeik szerint a jövőben hatékonyabb biztonsági rendszert vezetnek majd be a (a tulajok) napi működés zavartalansága érdekében.

A probléma így nem a különösen nagyszabású vagy vírus módra terjedő, a fertőzést terjesztő jellegével van az új programnak, hanem a célpontok meghatározásával. Míg a korábbi, ipartelepek ellen irányuló támadások általánosságban az IT rendszerekre irányultak, az EKANS-t kifejezetten az ICS, azaz az ipari vezérlőrendszerek ellen hozták létre. “Az EKANS olyan hozzáadott funkciókat tartalmazott, melyek erővel leállítottak bizonyos folyamatokat, köztük az irányítóközpont műveleteit is[...]

A “halál listában” felsorolt folyamatok specifikussága olyan tudatosságra (intencionalitásra) enged következtetni, mely korábban hiányzott az ipari környezetet célbavevő programokból. “

- írja a Dragos a hivatalos jelentésben. A malware összesen hatvannégy féle, Windowson futó programot tud leállítani, egészen addig, amíg az üzemeltetők át nem utalják, általában kriptovalutában a lenyomozhatatlansága miatt, a kért összeget. Ez pedig komoly gond lehet a mai, egyre inkább automatizált, robotmunkásokat előszeretettel alkalmazó telepek számára, legyen szó akár szennyvíztisztító telepekről, olajfinomítókról, vagy energiaellátó központokról.

Az International Federation of Robotics jelentése szerint az iparban alkalmazott robotok száma évről évre nagyjából tizenöt százalékkal fog növekedni, ami négyszázezer eladott egységet jelent, de a 2016-os és 2017-es évek statisztikái harminc százalékos ugrást mutattak. A fő beruházók: az Egyesült Államok, Kína, Dél -Korea, Japán és Németország. De a robotok csak az automatizálás egy részét jelentik, maga az irányítás, a digitális hálózatok mindenre kiterjedt jelenléte is veszélybe kerülhet egy esetleges támadás során.

A Stuxnetet tartják az első olyan számítógépes vírusnak, amely képes volt hatékonyan beférkőzni nagyobb energiaellátó telepek vezérlőrendszerébe, egy új korszak eljövetelét jelezve. Az iráni atomreaktorok ellen irányuló támadás az urániumdúsító rendszereket vette célba még 2010-ben, de több ponton különbözött a mostani esetektől.

• Vírus jellegű volt, vagyis miután telepítették, magától terjedt el a rendszeren belül
• Katonai célból hozták létre. Ugyan hivatalosan sosem ismerték be, de az azóta is elfogadott magyarázat szerint az Egyesült Államok és Izrael hírszerző ügynökségei alkották meg Operation Olympic Games fedőnév alatt, hogy az iráni atomprogramot “békés” módon tudják leállítani, vagy legalábbis megzavarni
• Nem a vezérlőközpont ellen irányult, így az egész telep működését nem veszélyeztette
• Láthatatlanul fertőzte meg a rendszert, a hibát csak később lehetett detektálni

Az EKANS viszont egy cseppet sem törődik a titkosítással, vagy információszerzéssel, az elsődleges célja az azonnali pénzkereseti lehetőség megteremtése.

Márpedig, ha egy malware hatékonyan képes blokkolni egy létszükségletű ipari létesítmény működését, és a tulajok úgy döntenek, hogy ez nem hagy más választási lehetőséget számukra, mint hogy együttműködjenek a zsarolóval, veszélyes tendencia ütheti fel a fejét. Az ICS rendszerek kiberbiztonságával foglalkozó szakemberek tanácsai szerint az ilyen támadások megelőzésére a legmegbízhatóbb módszer ha az irányítóközpont működtetését a lehető legtávolabb tartják a világhálótól, az offline rendszerek sokkal kevésbé vannak kitéve a láthatatlan fertőzések megjelenésének.

Az ICS security blogon 2018-ban publikálták a német Szövetségi Információbiztonsági Hivatal (Bundesamt für Sicherheit in der Informationstechnik, BSI) által kiadott jelentést a vezérlőközpontok sérülékenységéről és az ennek megelőzésére ajánlott tevékenységekről. A következőket tanácsolják:

•  Az első, amit az ICS kiberbiztonság világában sokan egyre többször hangoztatnak (én is unaloming ismétlem a blogposztjaimban): az ICS rendszereknek nincs keresnivalójuk az Interneten!
• Ugyanilyen fontos, hogy az ICS rendszerekhez történő legitim hozzáféréseket nem szabad blokkolni! Az ICS rendszereket üzemeltető szervezeteknek az IT biztonsági incidenskezelési, katasztrófa-elhárítási és üzletmenet-folytonossági terveik mellett illetve azok részeként kifejezetten az ICS rendszerekre és berendezésekre vonatkozó (és rendszeresen tesztelt!) incidenkezelési eljárásokkal kell rendelkezni, hogy ne a hozzáférések teljes körű blokkolása legyen az egyetlen intézkedés, amit egy incidens során képes megtenni a szervezet.
• Külső hálózatokból történő hozzáférést (ide értve az Internetet és az adott szervezet partnereinek hálózataiból történő, akár bérelt vonalat használó) minden esetben alaposan kiértékelt üzleti igénnyel kell alátámasztani és minden ilyen esetben VPN-megoldások alkalmazásával kell megfelelően biztonságossá tenni.

A Dragos konklúziója szerint ugyan az EKANS önmagában inkább egyfajta különlegességet jelent egyelőre, de “alapos aggodalomra okot adó evolúcióját hordozza az ICS-t célzó rosszindulatú programoknak.“ Emiatt az üzemeltetőknek mindenképpen érdemes behatóan elemezni a malware működését, hogy a jövőben “elkészíthessék az alkalmazható, releváns védelmi akciók tervét.“

(Forrás: Popular Mechanics, Fotó: Wikimedia Commons, Flickr/ecolepolytechnique, Needpix, Peqsels)