Dragos éves OT kiberbiztonsági jelentés
2025. február 25-én megjelent a Dragos 8. éves OT kiberbiztonsági jelentése. Az éves jelentés feltárja az OT és az ipari vezérlőrendszerek (ICS) kiberfenyegetettségi helyzetét, illetve stratégiai útmutatást nyújt arra vonatkozóan, hogyan lehet kezelni ezeket a fenyegetéseket. Az ipari szervezeteket egyre nagyobb mértékben érintik a kiberfenyegetések, ezért mindenképpen fontos megismerniük, hogy az ellenfelek hogyan hajtották végre kibertámadásaikat, milyen sérülékenységeket használtak ki, és mit kell tenniük, hogy megelőzzék ezeket a kibertevékenységeket.
A geopolitikai konfliktusok által vezérelve a kiberszereplők széles spektrumban kompromittáltak OT hálózatokat, hírszerzési információkat gyűjtöttek, és felkészültek további bomlasztó tevékenységekre. A Dragos 23 db ipari szervezeteket célzó fenyegető csoportot követ nyomon, amelyek közül kilenc volt aktív. A Dragos jelentése emellett két új kiberszereplőt is részletez. Az egyik csoport a BAUXITE (célországok: USA, Európa, Ausztrália, Közel-Kelet; célcsoport: olaj- és gázipar, víz- és szennyvízipar, vegyipar), amely képes az ICS Cyber Kill Chain 2. fázisának végrehajtására, PLC-k kompromittálására és egyedi backdoor-ok telepítésére az OT eszközökön. A csoport technikai átfedéseket mutat a CyberAv3ngers-szel, egy iráni kötődésű hacktivista csoporttal. A legutóbbi kampányok célpontjai Sophos tűzfalak, ICS eszközök és ipari távoli hozzáférési megoldások voltak, egyértelműen bomlasztó szándékkal.
A másik új kiberszereplő a GRAPHITE, amelynek célországai Kelet-Európa és a Közel-Kelet, a megcélzott ágazatok epdig az energia, kormányzat és logisztika. A GRAPHITE technikai átfedéseket mutat az APT28-al, és a Dragos szerint szélesebb körű, államilag támogatott geopolitikai célok érdekében tevékenykedik. A csoport 2024 folyamán szinte folyamatos spear-phishing kampányokat folytatott, ismert sérülékenységeket használt ki, és egyedi kártevőket telepített, hogy hitelesítő adatokat lopjon és hozzáférjen az OT hálózatokhoz.
Az általános kártékony kódokkal ellentétben az ICS rosszindulatú szoftverek kifejezetten az ipari vezérlőrendszerekre vannak kifejlesztve, így közvetlen működési kockázatot jelentenek az ipari és kritikus infrastruktúrák számára. 2024-ben azonosították a kutatók a nyolcadik és kilencedik ismert ICS malware családot, a Fuxnet-et és a FrostyGoop-ot.
A Fuxnetet a moszkvai városi szenzorhálózatok ellen vetették be, és a jelentések szerint több ezer felügyeleti eszközt tettek működésképtelenné. A kártevő felülírja a firmware-t a szenzor átjárókon, működésképtelenné téve azokat, kihasználja az alapértelmezett hitelesítő adatokat és a gyenge hozzáférés-ellenőrzést, ami kiemeli az alapvető kiberhigiénia kritikus fontosságát.
A Dragos által 2024 januárjában azonosított FrostyGoop-ot az ukrajnai távfűtési rendszerek energiaellátása elleni támadásban használták, ami több mint 600 lakóépületet érintett és fűtés kieséhez vezetett. Mindez akkor történt, amikor Ukrajnában fagypont alatt volt a külső hőmérséklet.
A Dragos 2024-ben 1693 ipari szervezetet célzó ransomware támadást dokumentált, ami 87 százalékos növekedést jelent az előző évhez képest. Továbbra is a feldolgozóipar a legsúlyosabban érintett ágazat, de egyre nagyobb aggodalomra ad okot a zsarolóvírusok terjeszkedése az energiaiparra és a kritikus infrastruktúrákra. A Dragos által 2024-ben vizsgált ransomware incidensek 75 százaléka az OT részleges leállásához, 25 százaléka pedig az OT teljes leállásához vezetett.
A Dragos jelentése szerint az ipari környezetek védelme terén történt némi előrelépés, továbbra is jelentős hiányosságok vannak, amelyek miatt az OT hálózatok sérülékenyek a ransomware-ekkel, az ICS malware-ekkel és a fejlett fenyegetésekkel szemben. A Dragos szerint a legproblémásabb, kulcsfontosságú területeket a következők:
– Az OT incidenskezelési terve rosszul definiált vagy nem tesztelik azt.
– Az OT-hálózatok szegmentálása következetlen és gyakran nem hatékony.
– Az OT visibility továbbra is riasztóan alacsony.
– A távoli hozzáférések továbbra sem biztonságosak.
– Az OT sérülékenység menedzsment még mindig reaktív, nem pedig proaktív.
