Kihasznált OT-rendszerek
2023 vége óta a Microsoft megfigyelte az internetre kitett, rosszul védett operatív technológiai (OT) eszközökre összpontosító támadásokról szóló jelentések növekedését. Az Egyesült Államokban a víz- és szennyvízrendszerekben (WWS) található, az internetnek kitett OT-berendezések ellen az elmúlt hónapokban több támadás is indult különböző nemzetek által támogatott szereplők részéről, beleértve az APT42, az Iszlám Forradalmi Gárdahoz (IRGC) kapcsolódó CyberAv3ngers támadásait 2023 novemberében, valamint az oroszbarát hacktivisták támadásait 2024 elején. Ezek az OT-eszközök elleni ismételt támadások hangsúlyozzák az OT-eszközök biztonsági helyzetének javítására és annak megakadályozására, hogy a kritikus rendszerek könnyű célponttá váljanak.
Az OT-rendszerek, amelyek a valós világ kritikus folyamatait irányítják, jelentős célpontot jelentenek a kibertámadások számára. Ezek a rendszerek számos iparágban elterjedtek, az épületek fűtési, szellőzési és légkondicionáló (heating, ventilation, and air conditioning – HVAC) rendszereitől kezdve a vízellátásig és az erőművekig, és olyan létfontosságú paraméterek szabályozását biztosítják, mint például a sebesség és a hőmérséklet az ipari folyamatokban. Az OT-rendszerek elleni kibertámadás átadhatja a támadóknak az ellenőrzést e kritikus paraméterek felett, és lehetővé teheti a rosszindulatú módosítást, ami meghibásodásokat vagy akár a rendszer teljes leállását eredményezheti, akár programozottan a programozható logikai vezérlőn (PLC) keresztül, akár az emberi gépi interfész (HMI) grafikus vezérlésével.
Az OT-rendszerek elleni támadások potenciális kárát növeli, hogy gyakran hiányoznak a biztonsági intézkedések, ami nemcsak vonzóvá teszi az OT-támadásokat a támadók számára, hanem viszonylag könnyen kivitelezhetővé is. Sok OT-eszköz az általános biztonsági irányelvek ellenére közvetlenül kapcsolódik az internethez, így a támadók számára az internetes keresőeszközökkel felfedezhetővé válnak. Miután a támadók felfedezték őket, a rossz biztonsági konfigurációkat, például a gyenge bejelentkezési jelszavakat vagy az ismert sebezhetőségekkel rendelkező elavult szoftvereket kihasználhatják az eszközökhöz való hozzáférés megszerzéséhez.
Röviddel az izraeli-Hamász háború kitörése után a Microsoft egyre több jelentést kapott az izraeli kötődésű OT-rendszerek elleni támadói tevékenységről. Ez magában foglalta az olyan meglévő csoportok tevékenységét, mint az IRGC-hez kapcsolódó CyberAv3ngers, valamint olyan új csoportok megjelenését, mint a CyberAv3ngers-hez kapcsolódó Soldiers of Solomon és a magát jemeni személynek feltüntető Abnaa Al-Saada. A Microsoft mind a CyberAv3ngers, mind a hozzá kapcsolódó Soldiers of Solomon csoportot Storm-0784 néven követi nyomon.
A csoportok által célba vett rendszerek között voltak mind Izraelben különböző ágazatokban telepített OT-berendezések, köztük nagy nemzetközi gyártók által gyártott PLC-k és HMI-k, mind pedig más országokban telepített, izraeli forrásból származó OT-berendezések. A támadásokat a szereplők a Telegram-csatornáikon tették közzé, amelyeken a célrendszerek képeit is közzétették, hogy növeljék a támadás állítólagos hitelességét és bizonyítékot szolgáltassanak a támadásra.
A Microsoft a szóban forgó fenyegető szereplőket kutatva azonosította a tipikus célprofilokat, amelyekre a támadók a jelek szerint összpontosítottak: az internetnek kitett, gyenge biztonsági állapotú OT-rendszerek, amelyekhez esetleg gyenge jelszavak és ismert sebezhetőségek társulnak.