Bár férgeket és bothálózatokat vetnek be továbbra is a dolgok internetén indított kampányaik zömében a kiberbűnözők, a célzott támadásokban utazó elkövetők egyre gyakrabban új eszközökhöz folyamodnak. Kártékony kód helyett a kiszemelt áldozat informatikai környezetében talált, legitim szoftvereket használják fegyverként, és mind többször fordul elő, hogy a közvetlen károkozás szándékával lépnek fel, adatlopás, kémkedés helyett egyenesen az ipari vezérlőrendszereket veszik célba.

Miután 2017-ben robbanásszerűen, 600 százalékkal nőtt a dolgok internete (IoT) ellen irányuló kibertámadások száma, az intenzitás tavaly sem hagyott alább – derült ki a Symantec idei kiberbiztonsági jelentéséből (2019 Symantec Internet Security Threat Report), amely külön fejezetben foglalkozik az IoT és ezen belül az ipari IoT környezeteket érő támadásokkal. A kiberbiztonsági cég a világ 157 országában 123 millió érzékelőn keresztül figyeli a hálózati eseményeket, és szolgáltatásaival naponta 142 millió támadást hiúsít meg. A begyűjtött és elemzett adatok alapján immár 24. alkalommal készítette el éves jelentését, amelyben a fenyegetési környezetet formáló és a kiberbűnözői tevékenységet motiváló trendeket összegzi.

Havonta átlagosan 5 200 IoT-támadást észlelt a Symantec 2018 folyamán is, ami mindössze 0,2 százalékos csökkenést mutat az egy évvel korábbi szinthez képest. Az esetek több mint 90 százalékában útválasztókat (routereket) vagy hálózatra csatlakozó kamerákat vettek célba a kibertámadók, és ugyanilyen magas arányban a Telnet hálózati protokollon és porton keresztül próbáltak hozzáférni az IoT-eszközökhöz – ez utóbbi 50 százalékos növekedést mutat a megelőző évi adathoz képest.

Az IoT-támadások közel negyede (24 százalék) Kínából indult, de az Egyesült Államok (10,1 százalék) és Brazília (9,8 (százalék) is dobogós lett, a negyedik Oroszország (5,7 százalék) jóval lemaradt mögöttük. A kártékony szoftverek listáját a Linux.Lightaidra és a Linux.Kaiten féreg (a támadások 31 százalék körüli arányával) vezeti, míg az elosztott túlterheléses (szolgáltatásmegtagadáshoz vezető, DDoS típusú) támadások hírhedt hőse, a Linux.Mirai 15,9 százalékkal harmadikként futott be.

A folyamatosan mutáló Mirai változatai már 16 különböző sérülékenységet használnak ki a fertőzéshez, mivel az IoT-eszközök szoftvereit sok felhasználó továbbra is rendszertelenül vagy egyáltalán nem frissíti, azokra nem telepíti a javításokat. Aggasztó az is, hogy a támadások negyedében-harmadában még mindig nevetséges jelszavak és felhasználónevek (pl. 123456, root, admin, system, password, shell, enable) „védik” az IoT-eszközöket az illetéktelen hozzáféréssel szemben.

Talált szoftverből fegyver

Gyakrabban érte kibertámadás a múlt év folyamán az ipari vezérlőrendszereket (ICS-eket) is, figyelmeztet jelentésében a Symantec. A hasonló támadások már korábban is nagy port kavartak, elég, ha felidézzük az ukrán energiaszektorban működő SCADA rendszerek ellen 2016-ban bevetett Disakil vagy az iráni urániumdúsító berendezések PLC-it 2010-ben célba vevő Stuxnet számítógépes trójai vírusok pusztítását. Tavaly azonban a Triton csoport a Trisis nevű trójaival az ICS-ek egy speciális típusát, a SIS rendszereket (safety instrumented system) fertőzte meg, amire eddig nem volt példa. A SIS-ek a kritikus fontosságú ipari rendszerek működését monitorozzák, és a kockázat növekedésére utaló értékek – például a túl magas hőmérséklet vagy nyomás – mérése esetén automatikusan elindítják a biztonságos működés visszaállításához szükséges folyamatokat. Alternatív programsorok hozzáadásával a Trisis ezeket a lépéseket összezavarja, ami katasztrofális következményekkel járhat.

A cégek többsége most teszi meg az első, elszántabb lépéseket a kockázatok csökkentésére

A dolgok internetén megszokott DDoS támadásokhoz és kriptopénzbányászathoz képest az IoT-fenyegetések továbbfejlődését mutatta a 2018-ban felbukkant VPNFilter is, amelyet fejlesztői többféle robbanótöltettel is elláttak. Közbeékelődéses (man in the middle) támadással férkőzik hozzá a hálózati adatforgalomhoz, azonosítókat lop, információkat szűr ki, elfogja a SCADA rendszerek kommunikációját, és a kiberbűnözők utasítására téglává változtatja a megfertőzött eszközöket, minden adatot töröl róluk, hogy elkerülje a későbbi lebukást, illetve megnehezítse a helyszínelést. A VPNFilter ráadásul a rendszerek újraindítását is túléli, így nagyon nehéz tőle megszabadulni.

Távközlési műholdak kerültek 2018-ban a Thrip csoport célkeresztjébe, amelynek ténykedésére januárban derített fényt a Symantec egy délkelet-ázsiai szolgáltatónál. Bár a kémcsoport egy korábban ismeretlen kártékony szoftvert (Infostealer.Catchamas) próbált meg telepíteni az áldozat hálózatában, ehhez a Microsoft Sysinternals PsExec eszközét használta. A PsExec parancssori hibaelhárító eszközt a rendszerfelügyeletet ellátó informatikai szakemberek széles körben használják, hogy folyamatokat futtassanak, utasításokat hajtassanak végre távoli számítógépeken.

A PsExec mellett a kiberbűnözők előszeretettel fegyveresítik a Microsoft PowerShell parancssori rendszerfelügyeleti eszközét, valamint az Office-fájlokat, pontosabban a rövid programkódokat (makrókat), amelyekkel a felhasználók automatizálják a fájlokban, például az Excelben gyakran végzett feladatok lépéseit. Tavaly nem kevesebb, mint ezer százalékkal nőtt a rosszindulatú PowerShell szkriptek (az adminisztrátori részfeladatok automatizálására szolgáló rövid programok) száma, és a kártékony kódot rejtő email-csatolmányok körében is 5-ről 48 százalékra ugrott az Office-dokumentumok aránya – miközben a szoftverszállítók által még nem javított, ún. nulladik napi sérülékenységeket erre a célra fejlesztett kártevővel kihasználó kiberbűnözők tábora egy év alatt 27-ről 23 százalékra szűkült.

Jelentésében ezt a trendet a Symantec a Gallmaker csoport példájával illusztrálja, amely már egyáltalán nem fejleszt kártékony szoftvert, célzott támadásaihoz kizárólag a széles körben elérhető, legitim szoftvereket használja. A módszert – amelyet a kiberbiztonsági cég a gyűjtőgető-vadászó életmódhoz hasonlít – különösen veszélyessé teszi, hogy ugyanezeket a szoftvereket a megtámadott vállalatok alkalmazottai, rendszerei is használják a napi munka, működés részeként. Tavaly a Symantec havonta átlagosan 115 ezer rosszindulatú PowerShell szkriptet blokkolt például, de ez a szám a teljes PowerShell-használat mindössze 1 százalékát teszi ki. A rosszindulatú tevékenység így beleolvad a legitim folyamatok tengerébe, ezért a kiberbiztonsági cég szerint csak a legfejlettebb analitikai képességekkel, mesterséges intelligenciával felvértezett kibervédelmi megoldásokkal észlelhető időben.