Beszünteti működését a magyar célpontokat is támadó Sector 16

Kocsis Tamás (Shark) kiberbiztonsági szakértő blogja, a Kiberblog számolt be a Sector 16 által kiadott közleményhez, melyben a csoport arról számol be, hogy „beszünteti áldásos tevékenységét”. A január óta aktív kiberbűnözői szerveződés említést tesz arról, hogy az elmúlt hónapok során több mint 80 sikeres támadás hajtott végre jellemzően ipari környezetek és kritikus infrastruktúrák ellen. A biztonsági szakember szerint a két magyar célpontot is érintő hullámnak talán vége lehet, de a búcsúmondat nyitva hagy kérdéseket, mivel így hangzik: „viszlát a következő alkalommal!".

Az üzenet erősen sejteti, hogy a csoport működése szünetel, de a lehetőséget nyitva tartja a visszatérésre. A kiberbűnözői csoportoknál csak ritka esetekben szűnik meg valóban egy csoport ilyen bejelentés után, nagyobb eséllyel van szó átmeneti szünetről, vagy akár taktikai lépésről – mondjuk egy másik név alatt tervezi tovább folytatni tevékenységét adott csoport, vagy más hasonló profilú csoporthoz csatlakozik, és a Sector 16 több más csoporttal is kollaborált.

IT-security meetup és Tóth Szabolcs standupja a SYSADMINDAY-en! 4 top IT-biztonsági előadóval, Tóth Szabolcs (Szomszédnéni Produkciós Iroda) standupjával vár az idei SYSADMINDAY, most pénteken!

A Kiberblog július 8-án számolt be elsőként részletesebben arról az incidensről, hogy egy hazai rendszert találtak meg a kiberbűnözők, a csoport Telegram csatornáján megjelent egy hazai geotermikus termelőrendszerbe történő behatolás bizonyítéka. Pár nappal később megjelent újabb bejegyzés szerint már hivatalosnak tűnt, hogy a Sector 16 kampányba kezdett: publikáltak ugyanis egy újabb meghekkelt, hazai vezérlési környezettel kapcsolatos bizonyítékot, konkrétan egy épület HVAC – hűtés, fűtés, ventillálás - (valószínűleg BACNet-alapú) vezérlését illusztráló képet osztottak meg az elkövetők. Az áldozat valószínűleg egy ismertebb fitness/wellness központ volt.

A Kiberblog pár napja számolt be arról, hogy a csoport Telegram-csatornáján keresztül üzente meg a hazai biztonsági szakmának, hogy elégedett a reakciókkal a gyűjtött sajtószemlék alapján. „Ez az akció egyszeri jellegű volt, de lehetőséget adott arra, hogy megmutassuk az erőnket” – írták.

A kiberbiztonsági szakemberek közössége által üzemeltetett olasz Red Hot Cyber portálon július 11-én megjelent egy kimondottan érdekes, exkluzívnak címkézett interjú is a csoporttal, amiben bár elsődlegesen az olasz infrastruktúra, köztük egy kórház ellen elkövetett támadások mögötti motivációkról beszél a nyilatkozó tag, mélyebb betekintést nyújt a csoport gondolkodásába. Ebben már említést tesznek arról, hogy tartanak a leleplezéstől, ezért tervezik, hogy a jövőben elhagyják a kommunikációra elsődlegesen használt Telegram platformot a Jabber javára.

A Sector 16 akkor még úgy nyilatkozott, hogy az olasz infrastruktúrák a „legsebezhetőbbek”, ezért addig folytatják a támadásokat, amíg a rendszereket nem védik erős jelszavakkal és megbízható hitelesítési módszerekkel. Olaszországban a kritikus infrastruktúra biztonságát 3-ra értékelték tizes skálán, mivel a rendszerekhez is rendkívül gyenge jelszavakat állítottak be az üzemeltetők.

A SCADA rendszerek iránti erős érdeklődés alapját adja, hogy a szektor biztonsága nem túl fejlett, mégis hatással van az egész bolygó legfontosabb infrastruktúráira. A csoport nyilatkozó tagja szerint nincsenek egyértelmű kritériumok arra, miként választják meg a támadások célpontjait: a célországok kiválasztása többnyire véletlenszerű, és a talált SCADA rendszerek nagy százaléka olasz vagy spanyol.

Abban különbözünk a többi csoporttól, hogy emberek vagyunk, és ezt nemcsak azért tesszük, hogy ártsunk, hanem azért is, hogy könnyű támadásainkkal segítsük a rendszerek védelmét”

– olvasható az egyik válaszban.

Kiderül továbbá, hogy egy támadás megtervezése maximum egy napot vesz igénybe, ami alatt a támadók mérlegelik a tetteik lehetséges következményeit, és törekszenek a károk minimalizálására. Emellett elítélik a ransomware csoportokat, akik valós életbeli károkat okoznak a rendszerek zárolásával.