Hlavní navigace

Postřehy z bezpečnosti: zranitelnosti SCADA/ICS zkoumány experty z EU, NATO i USA

Jaroslav Kodet

Dnes se podíváme na vývoj stavu zabezpečení software pro řízení technologických systémů (SCADA/ICS), seznámíme se s aktuálně aktivními kampaněmi ransomware a s několika možnostmi odpovídajících protiopatření.

Nedostatkům v zabezpečení průmyslových řídících systémů SCADA/ICS jsme se v rámci Postřehů z bezpečnosti již věnovali několikrát, zejména v souvislosti s útoky na ukrajinskou elektrorozvodnou síť prostřednictvím součinnosti několika malwarů a koordinované ruční práce. V reakci na tyto útoky se některé státy rozhodly uspořádat kybernetická bezpečnostní cvičení, která měla za cíl ověřit připravenost bezpečnostních týmů čelit podobným útokům. Jen v ČR proběhlo letos již několik cvičení zaměřených na řešení incidentů tohoto typu, ať už na národní úrovni či ve spolupráci s dalšími státy nebo NATO.

Podle zprávy serveru securityweek.com toto nebezpečí bere velmi vážně i Ministerstvo vnitřní bezpečnosti USA (DHS), jehož CERT/ICS tým vydal v tomto týdnu tři důležitá upozornění na zranitelnosti SCADA/ICS systémů.

Jedním z důvodů proč jsou tyto systémy zranitelné, je fakt, že většina SCADA/ICS řešení je postavena na velmi rozdílných platformách včetně specializovaných operačních systémů a interně vyvinutých aplikací využívajících vlastní komunikační protokoly. Logickým důsledkem je praktická nemožnost nasazení host-based security opatření vyvinutých pro prostředí „běžného IT“, jenž je ale obtížně aplikovatelné pro prostředí ICS.

Za to, že útoky na tyto systémy nejsou (zatím) příliš časté, vděčíme nejspíš tomu, že není mnoho odborníků s odpovídajícími znalostmi jak ICS, tak systémů, nad nimiž tyto systémy pracují, a zároveň i jejich komunikačních protokolů. Pokud by nebylo této „security by complexity“, byla by situace nesporně mnohem horší, a to vzhledem k faktu, že SCADA/ICS systémy obsahují takové množství chyb, že úspěšně proniknout do řídícího systému je schopen v podstatě téměř kdokoli, včetně „script kiddies“, jejichž schopnost škodit je limitována právě jen absencí znalosti širších souvislostí produkčního prostředí. Podle odkazovaného článku se však zdá, že alespoň „velcí hráči“ na tomto poli již začali brát bezpečnost vážně a vydávají doporučení pro zlepšení bezpečnosti svých systémů.

Naše postřehy

Ransomware Rokku se snaží maximálně usnadnit platbu výkupného za data oběti pomocí QR kódu.Tento ransomware se šíří jako většina jeho „příbuzných“ prostřednictvím chytře napsaných phishingových e-mailů. Po spuštění škodlivého softwaru se Rokku nejprve pokusí smazat z pevného disku tzv. „shadow kopie“, aby uživateli znemožnil obnovu souborů „vlastní silou“, a pak začne šifrovat všechny obrázky a dokumenty šifrovacím algoritmem RSA-512.

Jakmile je se šifrováním hotov, Rokku po sobě „zamete stopy“, přičemž po sobě zanechá zašifrované soubory spolu s informací, jak může uživatel získat soubory zpět. Postup je podobný jako u ostatních ransomwarů. Instrukce jsou uloženy na „darknetu“ a jako bonus je přiložen QR kód pro rychlou platbu, pokud je na zařízení k dispozici bitcoinová peněženka s odpovídajícím zůstatkem. Podle všeho se zdá, že na rozdíl od Lockyho Rokku ponechává peněženku nezašifrovanou.

„Nemocniční“ ransomware Samas se od jiných „produktů“ svého druhu liší vektorem svého šíření. Na rozdíl od nich se totiž nešíří prostřednictvím phisingových e-mailů, ale má zcela jiný „modus operandi“. Jeho způsob šíření je takový, že zneužije zranitelností doménových serverů s využitím získaných přístupových údajů, a z nich se pak šíří na klientské pracovní stanice.

Další novinkou je TeslaCrypt 3.0.1, který se od předchozích verzí liší v několika „vylepšeních“, z nichž nejviditelnější je ta, že na rozdíl od předešlých verzí nepřidává dodatečnou příponu, podle níž lze identifikovat zašifrované soubory. Analytik Peter Stephenson pro server scmagazine.com popsal, jakým způsobem se zachovat v případě napadení tímto ransomwarem.

Server The Hacker News zveřejnil postup, jak ochránit uživatele MS Windows a MS Office před malwary využívajícími ke svému šíření makra MS Office. Princip spočívá v nastavení možnosti spouštění maker pouze z důvěryhodných umístění. Soubory stažené z Internetu či e-mailové přílohy samozřejmě takovýto status nemají. Uživatelé by takto měli být ochráněni mimo jiné před malwarem jako je Dridex či Locky.

Ve zkratce:

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?