Lehetnek még magyar áldozatai a feltehetően orosz Sector 16-nak
Csak a támadók jóindulatán múlt, hogy nem állítottak el semmit, vagy nem próbáltak meg előidézni veszélyes állapotot. A hazai ipari és OT kiberbiztonság (beleérve a kritikus infrastruktúrákat) óriási kitettségét illusztrálja, hogy az elmúlt napokban a Sector 16 nevű csoport hazai vezérlési rendszerekbe bújt bele, és elképzelhető, hogy más potenciális áldozatok is a csőben vannak.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézete (NBSZ NKI) csütörtök délután figyelmeztetést adott ki a SECTOR 16 nevű hackercsoport által elkövetett kibertámadásra, amely idén júliusban egy magyarországi geotermikus termelőrendszert célzott meg. A támadók sikeresen behatoltak a termelőüzem kritikus vezérlési interfészébe, amely révén részletes betekintést nyertek a rendszer működésébe és biztonsági beállításaiba.
Bár közvetlen beavatkozást, például beállítások módosítását vagy szabotázst nem hajtottak végre, figyelmeztető üzeneteket küldtek, amelyekben a rendszer sebezhetőségére, valamint a kiberbiztonsági hiányosságokra hívták fel a figyelmet – írja az intézet. A támadás során a rendszer működésében az alábbi zavarokat tárták fel: ventilátor leállás, túlmelegedés, illetve nyomásingadozás, amelyek potenciálisan veszélyeztethetik az üzembiztonságot.
Az elmúlt napok tanulságai
Kocsis Tamás (Shark) kiberbiztonsági szakértő blogja, a Kiberblog július 8-án számolt be elsőként részletesebben arról az incidensről, hogy egy hazai rendszert találtak meg a kiberbűnözők. Shark szerint a Sector 16 dokumentált célpontjai között szerepelnek amerikai olajipari létesítmények, egy holland vízkezelő (Arionex), valamint feltételezhető terjeszkedés folyik Belgium, Franciaország és Ukrajna irányába. A terjeszkedés során láthatóan Magyarország is útba akadt, a csoport Telegram csatornáján megjelent egy hazai geotermikus termelőrendszerbe történő behatolás bizonyítéka. A csoport által hagyott üzenet szerint a geotermikus termelő elleni támadás egyben figyelmeztetés, és úgy döntöttek, hogy nem avatkoznak be, mivel az kiszámíthatatlan következményekkel járna ártatlan emberek számára.
Shark felhívja a figyelmet egy mélyebben húzódó problémára, miszerint az OT kiberbiztonság 20 évvel el van maradva az IT kiberbiztonságtól: olyan hiányosságokkal és sérülékenységekkel küszködünk, amelyek már 10 éve cikinek számítottak az IT-ban.
Végre tudomásul kellene vennie minden OT, ipari vagy termelési rendszert működtetőnek, hogy NEM PUBLIKÁLUNK OT ALKALMAZÁSOKAT, ESZKÖZÖKET, BERENDEZÉSEKET AZ INTERNET FELÉ!” – írja a szakértő, aki kollégáival jelentette az incidenst az NKI-nak.
Ez azért volt fontos lépés, mert az NKI kezében nagyon sok olyan információ fut össze, amellyel a civil „felderítők” nem rendelkeznek, ráadásul nekik a feljogosításuk és hatáskörük is van arra, hogy tovább vigyenek olyan információgyűjtést, amelyre a civilek nem jogosultak, és a hasonló eseteknél is érdemes így eljárni.
Jelentős megtakarítás az OpenStack Cloud Pro szerver szolgáltatással (x) Használja ki az Openstack-alapú virtuális szervereinkre szóló 50%-os kedvezményt az első 3 hónapra - igény szerint óránkénti, havi vagy éves díjszabással!
A Kiberblogon csütörtök délelőtt megjelent újabb bejegyzés szerint már hivatalosnak tekinthető, hogy a Sector 16 kampányba kezdett: publikáltak ugyanis egy újabb meghekkelt, hazai vezérlési környezettel kapcsolatos bizonyítékot. Ezúttal egy épület HVAC – hűtés, fűtés, ventillálás - (valószínűleg BACNet-alapú) vezérlését illusztráló képet osztottak meg az elkövetők, ami tartalmazza a hőközponti és légtechnikai és klímavezérlést. Az áldozat valószínűleg egy ismertebb fitness/wellness központ.
Ami különösen aggasztó, hogy az áldozatok szerepelnek egy olyan oldalon, ahova azokat az IP címeket gyűjtik, amelyeken hozzáférhető és egyébként már kompromittált távelérés működik. Az érintett IP címeket egy automata kompromittálja, a csoport pedig ezt a listát böngészi és az ezen a listán szereplő címeket kompromittálja újra. A blog szakértője szerint amennyiben ezt a módszert követik továbbra is, vélhetően lesznek még áldozatok, és jelenleg 110 olyan magyar rendszert tartalmaz az oldal, amelyekre az automata be tudott lépni, ezek jellemzően nagyon gyenge, sok esetben 1-8 karakteres vagy egyéb nagyon egyszerű jelszóval védett rendszerek.
A feldolgozott lista alapján 43 lehetséges jövőbeli áldozatot számoltak. A jelenleg is elérhető rendszerek között sajnos vannak vízművek, állami intézmény, gyárak és egyéb termelőkörnyezetek, illetve lakások, otthonok. A biztonsági szakemberek átadták a listákat az NKI-nek, akik gőzerővel dolgoznak az azonosításokon és a lehetséges kiértesítéseken.
Ez már akkor is súlyos incidens, ha éppen nem csinál a rendszerben semmi galádságot. Ez ugyanis bűncselekmény, akárhogy is nézzük. Ipari rendszerek esetében pedig óriási kockázatot hordozhat – hiszen az esetleges beavatkozása a fizikai világban csapódik le, ott fog nem kívánt eseményt okozni” – hívja fel a figyelmet a Kiberblog.
Az eset egyik tanulsága, hogy a hazai ipari és OT kiberbiztonság (beleérve a kritikus infrastruktúrákat) óriási kitettséget visel.
Hiányoznak a szakemberek, a tudatosság és a pénz. Ezen – tapasztalataim szerint – a NIS2 sem sokat változtatott - még. Ez nem is csoda: 20 éves lemaradást nem lehet behozni ilyen gyorsan. Az idő is hiányzik. Kevés van belőle és nagyon gyorsan múlik, ha az OT-ról van szó, mert az OT rendkívül lassan változik – pont az üzembiztonság miatt. De tenni kell valamit (jobbára csodát), mert az OT nem IT: itt az incidensek nem a digitális térben okoznak kárt, hanem a fizikai valóságban”.
Mit javasol az NKI?
Az NBSZ NKI javaslatokat adott ki azok számára, akik szeretnék elkerülni a hasonló eseteket. A listát azzal kezdi, hogy a kritikus infrastruktúrákat üzemeltető szervezetek rendszeresen végezzenek biztonsági felülvizsgálatokat az informatikai és ipari vezérlőrendszereken. Érdemes korszerűsíteni a védelmi intézkedéseket, különös tekintettel a hozzáférés-kezelésre, a hálózati szegmentációra és a behatolásészlelő rendszerek alkalmazására. A régebbi, internetről elérhető ipari vezérlőket – amelyek nem felelnek meg a mai biztonsági elvárásoknak – haladéktalanul le kell választani a nyilvános hálózatokról, ezzel csökkentve a távoli támadások kockázatát. A szervezet kitér arra is, hogy az üzemeltetők és karbantartó munkatársak képzésére kiemelt figyelmet kell fordítani a kiberbiztonsági kockázatok felismeréséhez.
Mit kell tudni a Sector 16-ról?
Az Orange Cyberdefense OSINT módszerekkel gyűjtött információi szerint a Sector 2025. január óta aktív, és bár decentralizált szervezetként nem egyértelműen visszavezethető vagy megerősíthető, de nagy eséllyel Oroszországhoz köthető hackercsoportról van szó, mely eddig főleg kritikus infrastruktúrák, különösen az olaj-, gáz- és vízipari SCADA rendszerek elleni támadásaival hívta fel magára a figyelmet.
A csoport vállalt felelősséget februárban egy amerikai olaj- és gázkitermelő létesítmény vezérlőrendszereihez való jogosulatlan hozzáférésért is. Szofisztikált támadásaik kritikus infrastruktúrákra irányulnak, ami a valós életben kimaradásokkal, gazdasági károkkal, rosszabb esetben a hétköznapi életet megzavaró valós életbeli következményekkel jár.
Karakterisztikáik közt említhető, hogy fejlett repertoárt vetnek be célpontjaik ellen, előnyben részesítik az ipari protokollok manipulálásával (pl. Modbus, DNP3), social engineeringel (phishing, azonosítólopás) történő támadásokat, a rosszul konfigurált távelérések kihasználását, sérülékenységek exploitálását, kártékony kódok (malware, ransomware) telepítését.
A szakértők szerint a csoport a Z-Pentest és OverFlame csoportokkal több alkalommal kollaborált támadások kivitelezésében, és akcióikban meghatározóak az együttműködések. A fő kommunikációs platform a Telegram lehet, de a csoport tagjai fellelhetők a YouTube-on és darknetes privát fórumokon.