Kínai hacker csoportot lepleztek le egy “csali” vízmű rendszerébe való betörésük során

Egy kutató július végén hozta nyilvánosságra, hogy 2012. decemberében észlelték, amint egy (feltételezhetően kínai hadsereggel kapcsolatban álló) hacker csoport behatolt egy egyesült államokbeli város vízművének irányító rendszerét szimuláló “csali” rendszerbe. 

Az APT1 néven ismert csoport e kutatási projekt általi lelepleződése eddig a legerősebb bizonyíték arra, hogy támadók aktívan próbálják kihasználni az ipari irányító rendszerekben található sérülékenységeket. Számos ilyen rendszer csatlakozik az internethez, hogy távoli hozzáférést tegyen lehetővé (ld. Hacking Industrial Systems Turns Out to Be Easy”)A “Comment Crew” néven is ismert APT1 csoportot a Trend Micro biztonsági vállalat kutatója, Kyle Wilhoit által létrehozott, magát ipari irányító rendszernek mutató csali rendszer (szaknyelven: honeypot) vonzotta magához. A kutató az eredményeit a Las Vegasban megrendezésre kerülő Black Hat konferencián ismerteti.

A kutató elmondása szerint a támadás 2012 decemberében kezdődött, amikor egy Word fájlba rejtett kártékony kód futtatásával szerzett a támadó teljes hozzáférést a csali rendszeren. A felhasznált kártékony kód és a támadás egyéb karakterisztikái tipikusan az APT1-et jellemezték, melyről a Mandiant biztonsági vállalat már korábban feltételezte, hogy a kínai hadsereghez kötődik (ld Exposé of Chinese Data Thieves Reveals Sloppy Tactics”). 

Senki nem feltételezné, hogy a Comment Crew (APT1) egy városi vízművet támadna meg – mondta Wilhoit -, de a csoport nyilvánvalóan nem véletlenül támadta meg a rendszert, miközben más – fontosabb – célt keresett. “Végigkövettem a támadás folyamatát. Teljesen nyilvánvalóan tudták, hogy mit csinálnak.”

Wilhoit további bizonyítékokat tárt fel arról, hogy az APT1 mellett más hacker csoportok is szándékosan kutatnak fel és támadják meg vízművek ipari irányító rendszereit. Nyolc különböző országban létrehozott tizenkét hasonló csalirendszeren 2013 márciusa és júniusa között összesen 74 támadást észleltek, ebből 10 volt olyan kifinomult, ami már a csali rendszer fölötti irányítás átvételét is lehetővé tette.

Felhő-alapú megoldással hoztak létre valósághű bejelentkező ablakot és konfigurációs képernyőket olyan vízművek számára, melyek látszólag Írországban, Oroszországban, Szingapúrban, Kínában, Japánban, Ausztráliában, Braziliában és az Amerikai Egyesült Államokban találhatóak. Amennyiben valakinek sikerült bejelentkeznie, elérhette a vízmű irányító rendszereit vezérlő interfészt.

Egyik támadás sem volt kiemelkedően kifinomult – mondta Wilhoit -, de a támadók láthatóan járatosak voltak az – egyébként meglehetősen gyenge védelmi képességekkel rendelkező – ipari irányító rendszerek terén. Négy támadás kifejezetten elmélyült ismereteket mutatott ezen a téren: képesek voltak beavatkozni az irányító rendszer egyedi kommunikációs protokolljába is.

Wilhoit egy “Browser Exploitation Framework” (vagy “BeEF”) eszközt használt arra, hogy a támadók rendszereihez hozzáférjen, és információkat szerezzen a támadók hollétéről. A támadók wifi-vezérlőjéhez hozzáférve háromszögeléssel határozta meg a helyzetüket.

A csali rendszereket érő 74 támadás 16 különböző országból indult ki. A nem kritikus támadások többsége (67%) Oroszországból, egy jelentős része pedig az Egyesült Államokból származott. A kritikus támadások fele kínai eredetű, a többi pedig német, brit, francia, palesztin és japán forrású.

Az eredmények alapján Wilhoit megállapította, hogy vízművek, és feltételezhetően más létesítmények is már valószínűleg kompromittálódtak és illetéktelen személyek rendelkeznek azokhoz hozzáféréssel, még ha nagyobb méretű támadásnak egyelőre nincs is látható jele. “Ezek a támadások folyamatosan történnek, és az üzemeltetőknek ezekről láthatóan nincs tudomásuk.” – nyilatkozta.

Korábban már megjelent Wilhoit egy másik kutatásáról szóló publikáció, mely szerint egyesek módszeresen fésülik át az internetet kifejezetten azzal a szándékkal, hogy ipari irányító rendszerekbe törjenek be (ld. “Honeypots Lure Industrial Hackers Into the Open”). Jelenleg azt tervezi, hogy valódi irányító rendszereken belül helyez el csali rendszereket, hogyaz ezen rendszereket célzó támadásokról pontosabb információkat szerezhessen.

Joe Weiss, az  Applied Control Solutions (ipari irányító rendszerek biztonságával foglalkozó szervezet) vezető tagja, és a téma szakértője kifejezte abbéli reményét, hogy Wilhoit kutatási eredményei talán meggyőzik az ipari irányító rendszerek tulajdonosait és üzemeltetőit, hogy vegyék végre komolyan az ezen rendszereket fenyegető támadásokat. “Az állampolgároknak tudniuk kell, hogy vannak olyanok, akik ezen rendszereket támadják. Remélem az emberek meg fogják érteni, hogy mennyire valós  és aktuális az, amire Wilhoit rámutatott.”

 

Forrás: Chinese Hacking Team Caught Taking Over Decoy Water Plant – MIT Technology Rewiev