Komoly fizikai károkat okozó cybertámadást szenvedett el az egyik német acélgyár

Titkosítás, biztonság, privát szféra

A Sony Pictures-t ért kifinomult cybertámadás után Németországban okozott komoly károkat egy hasonló behatolás. A német szövetségi információbiztonsági hivatal, a Bundesamt für Sicherheit in der Informationstechnik (BSI) szerdán kiadott jelentése szerint az egyik német acélgyárban komoly károk keletkeztek azután, hogy illetéktelenek betörtek a gyár termelési hálózatára, azon keresztül pedig a hozzáfértek az egyik nagyolvasztó vezérléséhez.

A támadás során spear phishing és kifinomult social engineering technikákat vetettek be, hogy előbb a gyár irodai hálózatára, majd onnan a termelési hálózatára bejussanak.

A támadásból kifolyólag az üzem egyik nagyolvasztóját nem tudták szabályosan, kontrollált keretek közt leállítani és ez komoly károkhoz vezetett. A BSI a támadó képességeit "nagyon fejlett"-ként jellemezte.

A támadás azért tekinthető különlegesnek - írja az Ars Technica - mert egyike azon (még) ritka számítógépes támadásoknak, amelyek során, következtében a behatolás fizikai károkat okozott.

Bruce Schneier tegnapelőtti blogbejegyzésében a Sony elleni támadás konzekvenciáit próbálja levonni, illetve arról ír, hogy a Sony ellenihez hasonló high-skill, high-focus típusú támadásokkal szemben mit lehet tenni.

( STP | 2014. 12. 21., v – 19:45 )

Bizonyára alulképzett vagyok, de minek az olvasztó vezérlést a netről elérni?
OK, hogy ugrottak egyet a belső hálóról, de akkor (is) xar volt a rendszerük.

Volt ott social engineering is (lasd szoveg). Es nem ok csesztek szet, hanem valami olyan modositast ertek el valahol, amitol az uzemeltetes soran nem tudta a szemelyzet szabalyosan vezerelni a cajgot (gondolom lelottek a kohot es belefagyott az olvadt fem, vagy valami hasonlo - annak annyi).
--
zsebHUP-ot használok!

Valószínűleg pongyolán van fogalmazva a cikk, nyilván nem a kohó van a netre kötve. Valamiféle hálózatra szükség van, az ipari szcéna hálózatai fő vonalakban úgy néznek ki, hogy van az operátori PC ami többnyire windows, azon fut a vezérlés gyártójának a scada szoftvere. Ez a PC-t és a rajta futó scada szoftvert adatkábellel vagy állandó kapcsolattal kötik össze a PLC-vel, a PLC pedig valami fieldbus protokollal kapcsolja össze a PLC-t és az általa vezérelt cuccosokat (motorok, szelepek, aktuátorok, szenzorok stb) a technológia különböző pontjain szerte az üzemben/kohóban/erőműben. Ebben a rendszerben a gyenge pont az operátori PC, a rajta lévő windows és a rajta futó scada szoftver, ha ezeknek van valami zeroday exploitja, akkor a belépési pont meg is van. Ezt a PC-t viszont már simán el lehet képzelni irodai hálózatba kötve, közös megosztások stb használata miatt. Ha ez a PC pontosabban a rajta levő scada program akár neten, akár egy pendriveon keresztül megfertőződött, akkor a scada szoftveren át a PLC is támadható, a rosszindulatú kód a PLC-re eljuttatható. Kemény sztori, mert ha a behatolás után valami ártó programot toltak fel a PLC-re az előbb írt forgatókönyv szerint, akkor a támadni/átprogramozni kívánt slave eszközöket, és végső soron az egész vezérelt folyamatot nagyon ismerni kellett, ehhez kellett oldschool kémkedés is, kellettek hozzá a behatolást és az ártó kód célba juttatását megoldó programozók, és végül azok a szakértők akik vágják a "business logic" részt, imserik a meghekkelni kivánt termelési folyamatot és le tudják programozni adott vezérlésre és slave eszközökre a kohót tönkretevő rosszindulatú leállási szekvenciát. Elég durván hangzik ez az egész...

Lattam mar kis vizi eromu feluletet tavolrol elerni. Bizony nem kell hozza PLC-t programozni, hogy komoly kart lehessen okozni. Sot, egyaltalan nem kell programozni. De meg csak erteni se kell a vizi eromuvekhez. Tokeletesen elegendo a webif megertesehez egy elektro szakkozep elso 2-3 eve vagy egy gimi +egy kis wiki olvasgatas.
Szinte biztos vagyok benne, hogy Mo.-on tobb minimum szaz 12-15 ev koruli gyerek van, akinek mar most minden a fejeben van egy ilyen tamadashoz. Elobb vagy utobb divatba jon a tini kockaknal a pecazok kenyszerzuhanyzasa es hasonlo "marhasagok"...

"Ebben a rendszerben a gyenge pont az operátori PC, a rajta lévő windows és a rajta futó scada szoftver, ha ezeknek van valami zeroday exploitja, akkor a belépési pont meg is van. Ezt a PC-t viszont már simán el lehet képzelni irodai hálózatba kötve, közös megosztások stb használata miatt."

Valószínűleg ezen a ponton kellett belső segítség, szinte biztos vagyok benne, hogy minden más (irodai) hálózattól szeparáltan, szigetüzemben működnek (de valamilyen formában adatot cserélnek az ERP rendszerrel).

Miután szépen lassan kezdik felfogni az emberek, hogy talán nem olyan rossz, ha az ERP rendszerek tudnak kommunikálni egymással és nem emailen meg telefonon kell szerencsétlenkedni egy-egy rendelés feladásánál és/vagy automatikus visszaigazolás-kezelésnél (mert mondjuk a két cég ERP rendszere egymással le tudja beszélni), na meg számlák átvételénél (ebből bevételezést megkönnyíteni), - csak hogy ne olyan alapvető dolgokról beszéljünk*, mint árlisták, készletinformációk kicserélése - szükséges az, hogy az ERP kilásson az internetre.

* Illetve hát alapvetőnek kellene, hogy legyen.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"a támadni/átprogramozni kívánt slave eszközöket, és végső soron az egész vezérelt folyamatot nagyon ismerni kellett" - vagy pont hogy nem. Néha a puszta tudatlanság ártalmasabb, mint a szándékos károkozás. Ha nem ismert semmit, csak talált a gépen egy hozzáférést egy X típusú PLC-hez, amit "brahiból" szimplán csak STOP-olt, esetleg törölte a programját?
A beghatolási pont (vonal) meg lehetett akár a rendszert gyártó/telepítő/karbantartó cég számára biztosított külső hozzáférés - ha más miatt nem is lenne rá semmi szükség, emiatt kötik sokszor össze a külvilággal az ilyesmi rendszereket.

( uid_6846 | 2014. 12. 21., v – 20:44 )

A diósgyőri kohóüzem ellen is próbálkoztak, de ott már nem jártak sikerrel.

Ez erősen azon múlik, hogy melyik országban, és hogy az ügyészségnek mennyi bizonyítéka van. Az emberölés szándékos jellegét a legtöbb országban külön bizonyítani kell. Ha nincs arra konkrét bizonyíték, hogy az elkövető tényleg kifejezetten ölni akart, akkor az ügyész nem biztos, hogy az egész vádpontot kockára fogja tenni, és lehet, hogy inkább "csak" súlyos gondatlan emberöléssel fogja vádolni.

Jelen esetben feljebb azt feltételezik, hogy támadónak a rendszert és a mögötte levő munkagépeket eléggé értenie kellett, így megállhat a "tudatában kellett lennie, hogy akár halállal is végződhet" érvelés.

De sok országban léteznek "terrorcselekmény"-jellegű tényállások is, amik arról híresek (hírhedtek), hogy a bizonyítási standardok nincsenek annyira pontosan törvényben szabályozva, mint emberölés esetén. Elképzelhető, hogy erre az esetre rá lehet húzni ilyet is.
---
Régóta vágyok én, az androidok mezonkincsére már!

( Winter | 2014. 12. 22., h – 10:55 )

"nem tudták szabályosan, kontrollált keretek közt leállítani és ez komoly károkhoz vezetett."
Vagyis belekötött a kohóba a cucc?

Bye Bye Nyuszifül - DigitalOcean referrer, mert az jó - <3 openSUSE, Ubuntu, KDE <3

( Addam2 | 2014. 12. 23., k – 10:29 )

Úgy tűnik egyre gyakoribb az ilyesmi, mai hír, hogy "Súlyos helyzetet teremtett a dél-koreai nukleáris erőművet működtető vállalat elektronikus adatainak feltörése...
Egy ismeretlen elkövető közzétette az interneten a dél-koreai nukleáris erőművet működtető Korea Hydro and Nuclear Power vállalat részletes tervrajzait és a nukleáris berendezések ábráit."