Az USA vádat emel orosz kormányügynökök ellen a kritikus infrastruktúrát ért kibertámadások miatt

Az amerikai igazságügyi minisztérium (DoJ) három orosz FSZB-tisztet és egy orosz katonai kutatóintézetnek dolgozó programozót vádolt meg a kritikus infrastruktúra-szolgáltatók által üzemeltetett ipari vezérlőrendszerek (ICS) elleni korábbi támadásokkal.

A támadások a 2017-es Triton rosszindulatú programot érintik, amelyet a Schneider Electric Triconex részlege által gyártott biztonsági műszeres rendszer (SIS) vezérlőinek megfertőzésére terveztek, valamint a 2013-as Havex távoli hozzáférésű trójai programot, amely a felügyeleti vezérlés és adatgyűjtés (SCADA) hálózatokon történő feltérképezésére szolgáló modult tartalmazott. Ezeket a rosszindulatú fenyegetéseket az energiaszektor szervezetei, köztük olaj- és gázipari cégek, atomerőművek és áramátviteli vállalatok ellen használták.

Míg ezeket a fenyegetéseket a biztonsági kutatók korábban orosz államilag támogatott csoportoknak tulajdonították, ez az első alkalom, amikor az orosz kormányzati ügynökségekhez vagy szervezetekhez közvetlenül kapcsolódó személyeket neveznek meg a támadásokkal kapcsolatban.

A Triton vádirat

Az Egyesült Államok megvádolta Evgeny Viktorovich Gladkikh-t, az orosz Központi Tudományos Kémiai és Mechanikai Kutatóintézet (TsNIIKhM) 36 éves programozóját az olajfinomítók feltörésére irányuló kampányban játszott szerepe miatt világszerte, köztük az Egyesült Államokban is. Legalább egy ilyen támadás a Triton malware sikeres telepítését eredményezte, amelyet a TsNIIKhM-ben fejlesztettek ki, Oroszország egyik legrégebbi állami kutatóközpontjában, amely az ország védelmi minisztériuma alatt működik, és az űrhadviselésben és a kiberműveletekben felhasználható új, fejlett fegyverek létrehozására specializálódott – áll a nyilvánosságra hozott vádiratban.

Bár a vádirat nem nevezi meg az országot vagy vállalatot, ahol a Triton kártevőt sikeresen telepítették, és a szervezetet „áldozatul esett vállalat 1.” néven említi, a biztonsági kutatók úgy vélik, hogy ez a szaúd-arábiai Petro Rabigh. A 2017-es incidens vezetett a Triton malware felfedezéséhez, miután a finomítóban a Triconex SIS vezérlőkre telepített malware kódjának hibája két biztonsági leállási eseményt váltott ki.

A vádirat megjegyzi, hogy Gladkikh közvetlenül részt vett a támadásban, hátsó ajtókat telepített a szervezet hálózatán belüli gépekre, megismerte a szervezet biztonsági naplóit, a korábbi biztonsági gyakorlatok eredményeit és a tervezett válaszlépéseket, a naplózó szervereken használt szoftververziókat és a Triconex SIS eszközök pontos modelljét és jellemzőit. Közvetlenül ő volt felelős a Triton rosszindulatú szoftver telepítéséért is a szervezet SIS-eszközein, amelyek az általa backdoorolt számítógépekhez csatlakoztak. Ezek a gépek a szervezet elosztott vezérlőrendszerének (DCS) részét képezték, és egyikük érzékeny fizikai folyamatokat vezérelt, amelyek a kén visszanyerésével és az égők kezelésével foglalkoztak. E rendszerek helytelen működése mérgező gázok felszabadulásához vagy robbanáshoz vezethetett volna.

Az ügyészek szerint Gladkikh és társai célja az volt, hogy a Triton rosszindulatú szoftver segítségével fizikai károkat vagy katasztrofális meghibásodásokat okozzanak a finomítóban a biztonsági működési paraméterek megváltoztatásával, miközben az üzemeltetők számára azt a látszatot keltették, hogy minden rendben van. Ehelyett a rosszindulatú szoftver konfigurációja véletlen hibákat idézett elő a SIS-eszközökben, amelyek beindították a biztonsági leállítási protokollt, ami elárulta a támadást, és végül a Triton rosszindulatú szoftver felfedezéséhez vezetett.

A csoport olajfinomítók kompromittálására irányuló kísérletei azonban nem álltak le. A vádirat szerint a Gladkikh talált egy 1970-es években írt kutatási dokumentumot az Egyesült Államok védelmi minisztériuma által üzemeltetett oldalon, amely kiterjedt felmérést tartalmazott az Egyesült Államokban található olajfinomítókról és azok fizikai sebezhetőségéről, beleértve az esetleges robbanások és tűzesetek hatásait is. Ez a dokumentum lehetővé tette számára és tettestársainak, hogy azonosítsanak két olyan finomítót, amelyet jelenleg egy amerikai székhelyű vállalat üzemeltet, majd SQL befecskendezés és sebezhetőségi szkenelések segítségével megpróbáljanak hozzáférést szerezni az adott vállalat által üzemeltetett nyilvános szerverekhez. Ezek a kísérletek sikertelenek voltak. https://makay.net/sql-injection-serulekenyseg-keresese-javitasa-megelozese

Gladkikh ellen egy rendbeli, energetikai létesítmény megrongálására irányuló összeesküvés és egy rendbeli, energetikai létesítmény megrongálására irányuló kísérlet vádjával emeltek vádat, amelyek egyenként legfeljebb 20 év börtönbüntetéssel sújthatók, valamint egy rendbeli, számítógépes csalásra irányuló összeesküvés vádjával, amely legfeljebb öt év börtönbüntetéssel sújtható.

A Havex-vádirat

Egy másik vádiratban a DoJ Pavel Alekszandrovics Akulovot, Mihail Mihajlovics Gavrilovot és Marat Valerjevics Tyukovot, az orosz belbiztonsági szolgálat, az FSZB 71330-as katonai egységének vagy „16-os központjának” három tisztjét számítógépes csalással és visszaéléssel, elektronikus csalással, súlyos személyazonosság-lopással és egy energetikai létesítmény tulajdonában okozott kár okozásával vádolja. A vádak a Havex rosszindulatú szoftver 2012 és 2017 közötti, több szervezet ellen történő felhasználásával kapcsolatosak.

A Havex malware egy távoli hozzáférési trójai, amelyet a biztonsági iparág a múltban egy orosz államilag támogatott fenyegető csoportnak tulajdonított, amelyet Dragonfly, Berzerk Bear vagy Energetic Bear néven követnek nyomon. A Havex azért is figyelemre méltó, mert 2012 és 2014 között a támadók a terjesztéséhez – más támadási vektorok mellett – a szoftverellátási lánc kompromittálását használták.

A hackereknek különösen az ICS- és SCADA-szoftvereket szállító vállalatok szervereit sikerült kompromittálniuk, és trójaiakkal megtámadniuk a szoftverfrissítéseket. Ilyen például a MESA Imaging illesztőprogram; az eWON által készített eCatcherSetup nevű komponens, amely vállalat távkarbantartási szolgáltatást nyújtott ICS-rendszerek számára; valamint az MB Connect által készített több eszköz, amely vállalat VPN-szolgáltatást és hálózati útválasztót nyújtott ipari rendszerek számára.

A Dragonfly csoport számos más támadási megoldást is használt, többek között olyan „watering hole” technikákat, amelyek során a célzott ágazatban dolgozó alkalmazottak által gyakran látogatott weboldalakat tették veszélyessé, hogy a hitelesítő adatok ellopására alkalmas rosszindulatú szoftvereket szolgáltassanak, valamint hamis, a veszélyeztetett energetikai szervezetekből létrehozott hamis címekről küldött spear phishing e-maileket, a nyilvánosan elérhető szerverek webalapú sebezhetőségeit használták ki.

A Havex malware-t nem közvetlenül az ICS-vezérlők veszélyeztetésére tervezték, de tartalmaz egy olyan modult, amely lehetővé teszi a támadók számára, hogy a veszélyeztetett hálózatokat SCADA-alkalmazások után kutassák. Ezek olyan menedzsmentalkalmazások, amelyek általában Windows munkaállomásokon futnak, és az ipari folyamatok felügyeletére és vezérlésére szolgálnak. Ez azt mutatja, hogy a támadóknak egyértelműen érdekükben állt az ilyen munkaállomások feletti ellenőrzés megszerzése.

A Dragonfly csoportnak többéves működése során több mint 17 000 egyedi rendszert sikerült megfertőznie a Havex-szel, köztük az energia- és energetikai vállalatok által használt ICS/SCADA-vezérlőket – állítják az ügyészek. A csoport spear-phishing támadásai több mint 3300 felhasználót céloztak meg több mint 500 amerikai és külföldi szervezetnél, köztük az amerikai nukleáris szabályozó bizottságnál.

A vádirat feloldását követően a CISA és az Energiaügyi Minisztérium részletes tájékoztatót tett közzé, amely további technikai részleteket tartalmaz a Triton és a Dragonfly támadásokról. A tanácsadás a kritikus infrastruktúrák üzemeltetőinek szóló legjobb biztonsági gyakorlatokat és ajánlásokat is tartalmazza.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!