Kritikus infrastruktúrák elleni oroszbarát opportunista kibertevékenységek
Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), illetve további több, mint 20 szervezet – köztünk számos ország kiberbiztonsági szervezete – közzétették a 2025. május 6-i közös figyelmeztetés kiegészítését. A szerző szervezetek úgy értékelik, hogy az oroszbarát hacktivista csoportok kevésbé kifinomult, kisebb hatással bíró támadásokat hajtanak végre a kritikus infrastruktúra-elemek ellen, mint az APT csoportok. Ezek a támadások minimálisan biztonságos, internethez kapcsolódó VNC kapcsolatokat használnak arra, hogy behatoljanak (vagy hozzáférjenek) kritikus infrastruktúra rendszerek OT vezérlő eszközeihez.
Az oroszbarát hacktivista csoportok – a Cyber Army of Russia Reborn (CARR), a Z-Pentest, a NoName057(16), a Sector16 és a velük kapcsolatban álló csoportok – kihasználják az Internetről elérhető VNC-eszközöket, hogy támadásokat hajtsanak végre kritikus infrastruktúra szervezetek ellen, ami fizikai károkkal is járhat. A célzott szektorok között szerepelnek víz- és szennyvízrendszerek, az élelmiszeripar, a mezőgazdaság, valamint az energiaipar.
A dokumentum összefoglalja az oroszbarát kiberszereplőkkel kapcsolatban azonosított taktikákat, technikákat és eljárásokat (TTP).
Ha egy szervezetek gyenge vagy alapértelmezett jelszavakkal rendelkező, kiszolgáltatott rendszereket azonosít, akkor feltételezheti, hogy a kiberszereplők kompromittálták a rendszert, és meg kell kezdenie a dokumentumban felsorolt incidenskezelési tevékenységeket:
- meg kell határozni, hogy mely hosztok kompromittálódtak, és izolálni kell azokat,
- threat hunting tevékenységet kell végrehajtani a behatolás mértékének felmérésére, melynek keretében össze kell gyűjteni és meg kell vizsgálni a bizonyítékokat, például a futó folyamatokat és szolgáltatásokat, a szokatlan hitelesítéseket és a hálózati kapcsolatokat,
- újra kell image-elni a kompromittált hosztokat,
- új fiókhitelesítő adatokat kell kiosztani,
- hardenelni kell az érintett rendszert és hálózatot,
- jelenteni kell az illetékes hatóságnak vagy incidenskezelő központnak.
A dokumentum arra ösztönzi a kritikus infrastruktúra szervezeteket és az OT eszközgyártóknak, hogy hajtsák végre a figyelmeztetésben szereplő intézkedéseket az oroszbarát hacktivista csoportokhoz kapcsolódó incidensek valószínűségének és hatásának csökkentése érdekében. Így többek között javasolt csökkenteni az OT Internetes kitettségét, valamint rendszeres vizsgálni attack-surface management eszközökkel a saját publikus IP tartományukat. Szegmentálni kell az IT és OT rendszereket DMZ kialakításával. Ajánlott tűzfalak és VPN-ek alkalmazása, amennyiben feltétlenül indokolt a vezérlőeszközök Internet felől történő elérhetősége. Teljes vagyonleltárt kell készíteni, amelybe beletartozik az adatfolyam-térkép kialakítása is. Naprakészen kell tartani minden (távoli hozzáférést nyújtó) rendszerelemet. A hozzáférések védelmét erős hitelesítéssel, MFA használatával, egyedi jelszavakkal, IP whitelist-tel és az alapértelmezett hitelesítési funkciók letiltásával kell biztosítani. Fontos továbbá a „view-only” jogosultságok alkalmazása, hogy kompromittált felhasználói fiók esetén se lehessen közvetlenül beavatkozni a folyamatokba.
A szervezeteknek emellett fel kell készülniük az incidensekre: legyen lehetőség manuális üzemeltetésre, rendelkezzenek rendszeresen tesztelt biztonsági mentésekkel és helyreállítási tervekkel. Mindezek mellett fontos a folyamatos forgalom- és konfiguráció monitorozás szerepét, valamint azt, hogy a kiberbiztonsági szempontokat már a beszerzési folyamatokban is figyelembe kell venni és érvényesíteni kell.
A dokumentum összeállításában közreműködött a Schneider Electric, a Nozomi Networks, az Eversource Energy, az Electricity Information Sharing and Analysis Center, a Chevron, a BP és a Dragos is.
