ICS/OT célpontok felértékelődése
A CloudSEK elemzése szerint az iráni–amerikai konfliktus nem hozott létre új kiberfenyegetést a kritikus infrastruktúrák ellen, hanem felgyorsította egy már évek óta épülő támadási környezet aktiválódását, különösen az ipari vezérlőrendszereket és az operációs technológiát érintő célpontok esetében. A jelentés szerint a kritikus infrastruktúra azért vált kiemelt célponttá, mert ezek elleni támadások jelentős civil és politikai hatást válthatnak ki anélkül, hogy közvetlen katonai konfrontációra lenne szükség.
A konfliktus eszkalációja után több mint 60 hacktivista csoport aktivizálódott néhány órán belül, miközben a háttérben már régóta jelen lévő állami APT-csoportok is érdeklődést mutatnak az ipari rendszerek iránt. A fenyegetési ökoszisztéma két rétegből áll, egyrészt olyan államilag támogatott szereplőkből, amelyek évekkel korábban már hozzáférést szereztek egyes hálózatokhoz, másrészt gyorsan mobilizálható proxy- és hacktivista csoportokból, amelyek nyilvánosan elérhető ipari eszközöket keresnek támadási célpontként.
A jelentés különösen aggasztónak tartja az ipari rendszerek internetes kitettségének méretét. A kutatók több mint 182 000 internetre csatlakoztatott ipari vagy automatizációs eszközt azonosítottak az Egyesült Államokban, amelyek közül sok közvetlenül elérhető a nyilvános hálózatról. Hasonló mértékű kitettség figyelhető meg más országokban is, például Izraelben és az Egyesült Királyságban. Sok esetben ezek az eszközök alapértelmezett jelszóval, vagy autentikáció nélkül működnek, ami jelentősen megkönnyíti a kompromittálást.
A kutatás három tipikus támadási útvonalat azonosít az ICS/OT rendszerek ellen. Az első a közvetlen támadás az internetre nyitott ipari interfészek ellen, gyakran gyenge vagy alapértelmezett hitelesítési adatok kihasználásával. A második módszer az OT-környezethez kapcsolódó személyzet vagy beszállítók kompromittálása, például phishing kampányokon keresztül. A harmadik – és stratégiailag a legveszélyesebb – útvonal az, amikor a támadók először egy vállalati IT-hálózatot törnek fel, majd onnan lateral movement jutnak be az ipari vezérlőrendszerekbe, ahol hosszú ideig rejtve maradhatnak.
A fenyegetési környezetben számos ismert állami csoport jelenik meg, köztük Volt Typhoon, APT33 vagy MuddyWater, valamint több Irán-párti proxy-szervezet. Ezek a szereplők különféle eszközöket használnak, például ipari környezetekhez fejlesztett backdoorokat és wiper-kártevőket, illetve living-off-the-land technikákat, hogy észrevétlenül fenntartsák a hozzáférést.
Az ipari rendszerek elleni támadások sokszor nem kifinomult zero-day exploitokon alapulnak, hanem alapvető biztonsági hiányosságokon, internetre nyitott ICS-interfészeken, nem frissített rendszereken, illetve gyenge hitelesítésen. Mivel az ICS-rendszerek közvetlenül fizikai folyamatokat irányítanak, egy sikeres támadás közvetlen fizikai és biztonsági következményekkel is járhat.
