Hogyan működnek a csővezetékek és más ipari létesítmények elleni kibertámadások?

Nem újdonság, hogy sok nagy technológiai intézmény szenvedett el egyik kibertámadást a másik után. De kibertámadás az ipari üzemek, például csővezetékek és erőművek működési technológiái ellen?

Ez merész és megalázó. És nem vicc, amikor eltalál. Az ilyen támadások, ha sikeresek, leállítják az ipari műveleteket, és negatívan érintik az áldozattá vált iparágtól függő embereket. Ami még rosszabb, gazdaságilag megbéníthat egy nemzetet.

De hogyan működnek a csővezetékek és más ipari létesítmények elleni kibertámadások? Vágjunk bele.

Miért történnek kibertámadások az ipari létesítményekben?

Legtöbbünk számára nem érthető, hogyan és miért kaphat bárki lehetőséget digitálisan hangszerelt kibertámadásra egy mechanikusan működtetett ipari üzem ellen.

Nos, a valóságban ma azt látjuk, hogy a mesterséges intelligencia, a gépi tanulás és több digitális technológia veszi át a mechanikai, sőt a műszaki műveleteket is az ipari üzemekben. Mint ilyenek, működési adataik, logisztikai információik és még sok más megtalálható az interneten, és ki vannak téve lopásnak és támadásnak.

Számos oka van annak, hogy a kibertámadások egyre elterjedtebbek az ipari létesítményekben, például csővezetékekben, erőművekben, vízellátó állomásokon, élelmiszeriparban és hasonlókban.

Bármi legyen is az indíték, valószínűleg a következő kategóriák valamelyikébe fog tartozni.

1. Politikai, gazdasági és üzleti indítékok

Üzleti szempontból a támadók időnként feltörnek egy ipari rendszert, hogy információkat szerezzenek a vegyi összetételről, a márkajelzésről, a piac méretéről, a műszaki és üzleti tervekről stb. Ez származhat egy konkurens vállalattól vagy az indulni szándékozóktól.

Azonban a politika is szerepet játszik. Az államilag támogatott kibertámadások jellemzően egy másik ország gazdasági infrastruktúráját kívánják megbénítani, hogy megmutassák országuk erejét és képességeit. Ennek egyik módja az, hogy megzavarják a folyamatokat azokban az iparágakban, amelyek az áldozat ország gazdaságát irányítják. És itt-ott érkezett egy-két jelentés.

2. Pénzügyi indítékok

Ez az egyik leggyakoribb oka a kibertámadásoknak. A támadók többféle pénzügyi indíttatásból törhetnek be egy ipari rendszerbe, a hitelkártyaadatok visszakeresésétől a pénzügyi információk ellopásáig.

Ezt általában rosszindulatú programokon vagy trójai programokon keresztül érik el, így észrevétlenül érinthetik meg a rendszert. A bejutást követően a technikai folyamatokkal kapcsolatos adatokat szippantják be. A hacker ezután minden érdeklődőnek felajánlhatja a feketepiacon ellopott információkat.

Egy másik módja annak, hogy pénzt kereshessenek, a zsarolóvírus-injekció, ahol a támadók titkosítják a célpont adatait, majd eladják a jelszót tetemes összegért.

Összefüggő: Mi az a Ransomware és hogyan lehet eltávolítani?

Léteznek elosztott szolgáltatásmegtagadási támadások (DDoS) is, amikor több fertőzött számítógép egyszerre éri el a célpont webhelyét, így túlterheli a rendszerüket. Ez megakadályozza, hogy az ügyfelek az említett céghez forduljanak, amíg le nem állítják a támadást.

Hogyan működnek ezek a kibertámadások? Figyelemre méltó példák

Most, hogy láttad az ipari üzemek elleni kibertámadások mögött meghúzódó kiugró okokat. Vessünk betekintést ezekből a figyelemre méltó példákból, hogyan működik.

1. A gyarmati csővezeték

A Colonial Pipeline naponta körülbelül 3 millió hordó kőolajterméket szállít az Egyesült Államokon belül. Ez a legnagyobb üzemanyag-vezeték az Egyesült Államokban. Természetesen elképzelhető, milyen nehéz feltörni egy ilyen összetett rendszert.

De megtörtént az elképzelhetetlen. A feltörésről szóló hírek 2021 májusában kerültek a címlapokra, amikor Joe Biden elnök szükségállapotot hirdetett a repülőgép-üzemanyag-hiány, valamint a pánikszerű benzin- és fűtőolaj-vásárlás miatt. Ez azután történt, hogy a csővezeték minden műveletet leállított a kibertámadás miatt.

Hogyan bénították meg a hackerek a Colonial Pipeline műveleteit? Ransomware-en keresztül. A feltételezések szerint a támadók hetek óta észrevétlenül a csővezeték hálózatán belül voltak.

Miután elérte a csővezeték hálózatát a személyzet kiszivárgott jelszavával és felhasználónevével, amely a sötét web, a támadók rosszindulatú szoftvereket fecskendeztek be a csővezeték informatikai rendszerébe, titkosítva számlázási hálózatukat, és túszul ejtve őket. Ezután továbbmentek, hogy ellopjanak körülbelül 100 gigabájtnyi adatot, és Bitcoinban fizetett váltságdíjat kértek a visszafejtés fejében.

Hogyan szivárgott ki az említett felhasználónév és jelszó a sötét weben? Senki sem volt biztos benne. A lehetséges tettes azonban az adathalászat, amely a Colonial Pipeline munkatársait célozza meg.

Összefüggő: Ki állt a gyarmati csővezeték-támadás mögött?

Bár ez a támadás nem érintette a digitálisan működtetett mechanikus rendszereket, a ransomware hatása még pusztítóbb is lehetett volna, ha a Colonial Pipeline a kibertámadás ellenére további műveleteket kockáztat.

2. Oldsmar vízellátó rendszer (Florida)

Az Oldsmar vízellátó rendszer esetében a hackerek a technikai csapat által használt képernyőmegosztó szoftveren, a TeamVieweren keresztül vették át a virtuális irányítást a vegyszerkezelő infrastruktúra felett.

A bejutást követően a támadó egyenesen a létesítmény kezelési vezérlőrendszerébe ment, és megemelte a szintet nátrium-hidroxid hozzáadása a vízhez mérgező szintig – pontosan 100-11 100 ppm (ppm).

Ha az ügyeletes személyzet nem vette volna észre ezt a nevetséges vegyszerszint-növekedést, és nem hozta volna le a normális szintre, a hackerek tömeggyilkosságot akartak elkövetni.

Hogyan szerezték meg ezek a támadók a TeamViewer hitelesítő adatait az ember-gép interfész távoli eléréséhez?

Biztosan kihasználtak két sebezhetőséget az Oldsmar vezérlőrendszerében. Először is, minden alkalmazott ugyanazt a TeamViewer azonosítót és jelszót használta a feltört rendszer eléréséhez. Másodszor, a rendszer szoftvere elavult volt, mivel Windows 7-en működött, amely a Microsoft szerint a támogatás megszűnése miatt sebezhetőbb a rosszindulatú támadásokkal szemben.

A hackerek vagy durva erőszakkal behatoltak, vagy rosszindulatú program segítségével szippantották be az elavult rendszert.

3. Ukrán villamosenergia-alállomások

Körülbelül 225 000 ember került a sötétségbe, miután 2015 decemberében kibertámadás érte az ukrán elektromos hálózatot. A támadók ezúttal egy sokoldalú rendszervezérlő kártevőt, a BlackEnergy-t használták céljuk eléréséhez.

De hogyan találták meg a módját, hogy ezt a rosszindulatú programot egy ekkora ipari létesítménybe fecskendezzék?

A hackerek korábban hatalmas adathalász kampányt indítottak a támadás előtt. Az adathalász e-mail megtévesztette az alkalmazottakat, és rákattintottak egy linkre, amely egy makróknak álcázott rosszindulatú bővítmény telepítésére késztette őket.

Az említett plugin lehetővé tette a BlackEnergy bot számára, hogy sikeresen megfertőzze a grid rendszert a hátsó ajtón keresztül. A hackerek ezután VPN-hitelesítési adatokat szereztek, amelyek lehetővé teszik a személyzet számára, hogy távolról irányítsák a grid rendszert.

Miután bejutottak, a hackereknek időbe telt a folyamatok figyelése. És amikor készen volt, minden rendszerből kijelentkeztették a személyzetet, átvették az irányítást a felügyeleti ellenőrzési és adatgyűjtési (SCADA) processzor felett. Ezután kikapcsolták a tartalék tápellátást, leállítottak 30 tápegységet, és használtak szolgáltatásmegtagadási támadások kimaradásjelentések elkerülése érdekében.

4. A Triton támadás

A Triton egy rosszindulatú program, amely elsősorban az ipari vezérlőrendszereket célozza meg. Hatékonysága érezhető volt, amikor 2017-ben hackerek egy csoportja befecskendezte azt a szakértők szerint egy szaúd-arábiai petrolkémiai erőműbe.

Ez a támadás is követte az adathalászat és a jelszavak valószínűsíthető brutális kényszerítésének mintáját, hogy a rosszindulatú program bejuttatása előtt hátsó ajtón keresztül hozzáférhessenek a vezérlőrendszerekhez.

Ezt követően a hackerek távirányítós hozzáférést kaptak a biztonsági műszeres rendszer (SIS) munkaállomásához, hogy megakadályozzák a hibák helyes jelentését.

Összefüggő: Mi az az ellátási lánc feltörése, és hogyan maradhat biztonságban?

Úgy tűnt azonban, hogy a támadók csak a tényleges támadás megkezdése előtt tanulták meg a rendszer működését. Míg a hackerek körbe-körbe mozogtak, és módosították a vezérlőrendszert, az egész üzem leállt, néhány biztonsági rendszernek köszönhetően, amelyek aktiválták a hibabiztosságot.

5. A Stuxnet támadás

A Stuxnet egy számítógépes féreg, amely elsősorban a nukleáris létesítményekben található programozható logikai vezérlőket (PLC) célozza meg. A közös amerikai és izraeli csapat által kifejlesztett féreg USB flash-n keresztül utazik, a Windows operációs rendszerhez való affinitással.

A Stuxnet úgy működik, hogy átveszi a vezérlőrendszereket, és úgy módosítja a meglévő programokat, hogy károkat okozzon a PLC-ben. 2010-ben kiberfegyverként használták egy iráni urándúsító létesítmény ellen.

Miután megfertőzött több mint 200 000 számítógépet a létesítményben, a féreg újraprogramozta az uráncentrifuga forgási utasításait. Emiatt hirtelen megpördültek, és közben önmegsemmisítették őket.

6. JBS Húsfeldolgozó Üzem

Mivel a profit küszöbön áll, a hackerek nem mentesítik az élelmiszer-feldolgozó ipart az expedíciók alól. Pénzügyi indítékok késztették a hackereket 2021 júniusában a világ legnagyobb húsfeldolgozó üzemének, a JBS-nek a gépeltérítési műveleteire.

Következésképpen a vállalat leállította összes tevékenységét Észak-Amerikában és Ausztráliában. Ez néhány héttel a Colonial Pipeline támadása után történt.

Hogyan működött a JBS ipari üzem elleni támadás?

A Colonial Pipeline esetéhez hasonlóan a támadók zsarolóvírussal fertőzték meg a JBS húsfeldolgozó rendszerét. Ezután azzal fenyegetőztek, hogy törlik a nagy horderejű információkat, ha a cég nem fizet kriptovalutában váltságdíjat.

Az ipari kibertámadások mintát követnek

Noha ezeknek a támadásoknak van egy cselekvési terve, egy olyan mintára következtethetünk, hogy a hackereknek meg kellett sérteniük a hitelesítési protokollokat, hogy első bejuthassanak. Ezt nyers erőszakkal, adathalászattal vagy szippantással érik el.

Ezután bármilyen rosszindulatú programot vagy vírust telepítenek a megcélzott ipari rendszerbe, hogy segítsenek elérni céljaikat.

Az ipari létesítményeket ért kibertámadások pusztítóak

A kibertámadások növekszik, és ijesztően jövedelmezővé válnak az interneten. Mint láthatta, ez nem csak a megcélzott szervezetet érinti, hanem átterjed a termékeiből hasznot húzó emberekre is. A mechanikus műveletek önmagukban nem érzékenyek a kibertámadásokra, de a mögöttük lévő irányító digitális technológiák sebezhetővé teszik őket.

Ennek ellenére a digitális vezérlőrendszerek befolyása a műszaki folyamatokra értékes. Az iparágak csak megerősíthetik tűzfalaikat, és szigorú biztonsági szabályokat, ellenőrzéseket és egyensúlyokat követhetnek a kibertámadások megelőzése érdekében.

6 legjobb webalkalmazás-biztonsági gyakorlat a kibertámadások megelőzésére

A kibertámadások megelőzése kulcsfontosságú, és az internetes alkalmazások használata közbeni okosság segít megvédeni magát az interneten.

Olvassa el a következőt

A szerzőről