Gyűjtögető kiberbűnözők a gyárban
Az ipari környezetek eredményes védelméhez a vállalatoknak nemcsak saját adataik, hálózatuk és rendszereik, hanem teljes IIoT-ökoszisztémájuk kiberbiztonságáról gondoskodniuk kell.

 

Bár férgeket és bothálózatokat vetnek be továbbra is a dolgok internetén indított kampányaik zömében a kiberbűnözők, a célzott támadásokban utazó elkövetők egyre gyakrabban új eszközökhöz folyamodnak. Kártékony kód helyett a kiszemelt áldozat informatikai környezetében talált, legitim szoftvereket használják fegyverként, és mind többször fordul elő, hogy a közvetlen károkozás szándékával lépnek fel, adatlopás, kémkedés helyett egyenesen az ipari vezérlőrendszereket veszik célba.

Miután 2017-ben robbanásszerűen, 600 százalékkal nőtt a dolgok internete (IoT) ellen irányuló kibertámadások száma, az intenzitás tavaly sem hagyott alább – derült ki a Symantec idei kiberbiztonsági jelentéséből (2019 Symantec Internet Security Threat Report), amely külön fejezetben foglalkozik az IoT és ezen belül az ipari IoT környezeteket érő támadásokkal. A kiberbiztonsági cég a világ 157 országában 123 millió érzékelőn keresztül figyeli a hálózati eseményeket, és szolgáltatásaival naponta 142 millió támadást hiúsít meg. A begyűjtött és elemzett adatok alapján immár 24. alkalommal készítette el éves jelentését, amelyben a fenyegetési környezetet formáló és a kiberbűnözői tevékenységet motiváló trendeket összegzi.

Havonta átlagosan 5 200 IoT-támadást észlelt a Symantec 2018 folyamán is, ami mindössze 0,2 százalékos csökkenést mutat az egy évvel korábbi szinthez képest. Az esetek több mint 90 százalékában útválasztókat (routereket) vagy hálózatra csatlakozó kamerákat vettek célba a kibertámadók, és ugyanilyen magas arányban a Telnet hálózati protokollon és porton keresztül próbáltak hozzáférni az IoT-eszközökhöz – ez utóbbi 50 százalékos növekedést mutat a megelőző évi adathoz képest.

Az IoT-támadások közel negyede (24 százalék) Kínából indult, de az Egyesült Államok (10,1 százalék) és Brazília (9,8 (százalék) is dobogós lett, a negyedik Oroszország (5,7 százalék) jóval lemaradt mögöttük. A kártékony szoftverek listáját a Linux.Lightaidra és a Linux.Kaiten féreg (a támadások 31 százalék körüli arányával) vezeti, míg az elosztott túlterheléses (szolgáltatásmegtagadáshoz vezető, DDoS típusú) támadások hírhedt hőse, a Linux.Mirai 15,9 százalékkal harmadikként futott be.

A folyamatosan mutáló Mirai változatai már 16 különböző sérülékenységet használnak ki a fertőzéshez, mivel az IoT-eszközök szoftvereit sok felhasználó továbbra is rendszertelenül vagy egyáltalán nem frissíti, azokra nem telepíti a javításokat. Aggasztó az is, hogy a támadások negyedében-harmadában még mindig nevetséges jelszavak és felhasználónevek (pl. 123456, root, admin, system, password, shell, enable) „védik” az IoT-eszközöket az illetéktelen hozzáféréssel szemben.

Talált szoftverből fegyver

Gyakrabban érte kibertámadás a múlt év folyamán az ipari vezérlőrendszereket (ICS-eket) is, figyelmeztet jelentésében a Symantec. A hasonló támadások már korábban is nagy port kavartak, elég, ha felidézzük az ukrán energiaszektorban működő SCADA rendszerek ellen 2016-ban bevetett Disakil vagy az iráni urániumdúsító berendezések PLC-it 2010-ben célba vevő Stuxnet számítógépes trójai vírusok pusztítását. Tavaly azonban a Triton csoport a Trisis nevű trójaival az ICS-ek egy speciális típusát, a SIS rendszereket (safety instrumented system) fertőzte meg, amire eddig nem volt példa. A SIS-ek a kritikus fontosságú ipari rendszerek működését monitorozzák, és a kockázat növekedésére utaló értékek – például a túl magas hőmérséklet vagy nyomás – mérése esetén automatikusan elindítják a biztonságos működés visszaállításához szükséges folyamatokat. Alternatív programsorok hozzáadásával a Trisis ezeket a lépéseket összezavarja, ami katasztrofális következményekkel járhat.

 

A cégek többsége most teszi meg az első, elszántabb lépéseket a kockázatok csökkentésére

 

A dolgok internetén megszokott DDoS támadásokhoz és kriptopénzbányászathoz képest az IoT-fenyegetések továbbfejlődését mutatta a 2018-ban felbukkant VPNFilter is, amelyet fejlesztői többféle robbanótöltettel is elláttak. Közbeékelődéses (man in the middle) támadással férkőzik hozzá a hálózati adatforgalomhoz, azonosítókat lop, információkat szűr ki, elfogja a SCADA rendszerek kommunikációját, és a kiberbűnözők utasítására téglává változtatja a megfertőzött eszközöket, minden adatot töröl róluk, hogy elkerülje a későbbi lebukást, illetve megnehezítse a helyszínelést. A VPNFilter ráadásul a rendszerek újraindítását is túléli, így nagyon nehéz tőle megszabadulni.

Távközlési műholdak kerültek 2018-ban a Thrip csoport célkeresztjébe, amelynek ténykedésére januárban derített fényt a Symantec egy délkelet-ázsiai szolgáltatónál. Bár a kémcsoport egy korábban ismeretlen kártékony szoftvert (Infostealer.Catchamas) próbált meg telepíteni az áldozat hálózatában, ehhez a Microsoft Sysinternals PsExec eszközét használta. A PsExec parancssori hibaelhárító eszközt a rendszerfelügyeletet ellátó informatikai szakemberek széles körben használják, hogy folyamatokat futtassanak, utasításokat hajtassanak végre távoli számítógépeken.

A PsExec mellett a kiberbűnözők előszeretettel fegyveresítik a Microsoft PowerShell parancssori rendszerfelügyeleti eszközét, valamint az Office-fájlokat, pontosabban a rövid programkódokat (makrókat), amelyekkel a felhasználók automatizálják a fájlokban, például az Excelben gyakran végzett feladatok lépéseit. Tavaly nem kevesebb, mint ezer százalékkal nőtt a rosszindulatú PowerShell szkriptek (az adminisztrátori részfeladatok automatizálására szolgáló rövid programok) száma, és a kártékony kódot rejtő email-csatolmányok körében is 5-ről 48 százalékra ugrott az Office-dokumentumok aránya – miközben a szoftverszállítók által még nem javított, ún. nulladik napi sérülékenységeket erre a célra fejlesztett kártevővel kihasználó kiberbűnözők tábora egy év alatt 27-ről 23 százalékra szűkült.

Jelentésében ezt a trendet a Symantec a Gallmaker csoport példájával illusztrálja, amely már egyáltalán nem fejleszt kártékony szoftvert, célzott támadásaihoz kizárólag a széles körben elérhető, legitim szoftvereket használja. A módszert – amelyet a kiberbiztonsági cég a gyűjtőgető-vadászó életmódhoz hasonlít – különösen veszélyessé teszi, hogy ugyanezeket a szoftvereket a megtámadott vállalatok alkalmazottai, rendszerei is használják a napi munka, működés részeként. Tavaly a Symantec havonta átlagosan 115 ezer rosszindulatú PowerShell szkriptet blokkolt például, de ez a szám a teljes PowerShell-használat mindössze 1 százalékát teszi ki. A rosszindulatú tevékenység így beleolvad a legitim folyamatok tengerébe, ezért a kiberbiztonsági cég szerint csak a legfejlettebb analitikai képességekkel, mesterséges intelligenciával felvértezett kibervédelmi megoldásokkal észlelhető időben.

Robotrendszer a síküveggyártásban
Az ABB legnagyobb terhelhetőségű, többfunckiós robotjával valósult meg a Guardian Orosházi síküveggyárának új, biztonságos, hatékonyabb, gyorsabb üvegtábla rakodási rendszere.
IoT és feladatorientált robotok a legújabb trendek között
Már nem olyan távoli jövő a készpénz teljes eltűnése vagy az okosautók általános térhódítása, és tíz év múlva már a 6G is elterjed.
Gyorsabb eszközadat elérés segíti a tervezőket
Idén június elején jelent meg az alkatrész- és eszközadatok elérését online lehetővé tevő Eplan Data Portal legújabb verziója.
Termelésütemezés napjainkban
"Egy termelésütemező rendszerbe való beruházás sokkal nagyobb érték, mint egy gépberuházás! De ezt ma még sokan nem értik! De amikor majd ők is rálépnek erre az útra, és megismerik a lean-t, a termelésütemezést, akkor majd megértik ennek az értékét!"
Kvantum algoritmusok a szén-dioxid-leválasztás fejlesztésére
A Total-csoport többévre szóló partnerségi megállapodást kötött az egyesült királyságbeli Cambridge Quantum Computing (CQC) startup céggel a szén-dioxid-leválasztási, -hasznosítási és -tárolási (CCUS) technológiák kutatására. A partnerség célja az új kvantum algoritmusok fejlesztése a szén-dioxid-leválasztáshoz szükséges anyagok javítása érdekében.