Az elterjedt technikák olyan alacsonyra teszik a lécet az irányítási folyamatok elleni támadásoknál, hogy néha a támadóknak fogalmuk sincs, mire használják is használják az adott rendszert.
A controll folyamatok, például az ipari környezetben lévő rendszerek elleni támadások egyre gyakoribbak, amelyekhez egyáltalán nem kifinomult hétköznapi módszereket alkalmaznak. A FireEye kiberbiztonsgi cég Mandiant nyomozó csapata jelentést tett közzé, amely a vezérlési folyamatok elleni támadások trendjeit vizsgálja, különösen azokat, amelyekben valamilyen operatív technológia (OT) is jelen van.
A vezérlési folyamatok elleni támadásokat korábban összetett feladatnak tekintették, mert szigorúan szabályozták a hozzáféréseket és a védett ipari technológiák ellen csak kifejezetten erre tervezett rosszindulatú szoftverekkel volt esély fellépni. Egy vezérlési folyamat megzavarása, illetve, hogy kiszámítható hatást érjenek el, ma már egyszerűbb, mert a sebezhető, internetre néző OT végpontok szélesebb támadási felületet kínálnak.
Keith Lunden, Daniel Kapellmann Zafra és Nathan Brubaker, a Mandiant munkatársai szerint egyre gyakoribbak az "alacsony kifinomultságú" OT-támadási kísérletek. A cég megfigyelte, hogy a különböző minőségű készségekkel és eltérő szintű erőforrásokkal dolgozó hackerek "általános informatikai eszközöket és technikákat használnak a nyílt OT-rendszerekhez való hozzáféréshez és azokkal való interakcióhoz".
Napenergiapanel-hálózatok, vízvezérlő rendszerek és épületautomatizálási rendszerek voltak a célpontok, és bár a kritikus infrastruktúrával foglalkozó szervezetek is szerepelnek a listán, ugyanezeket a technikákat alkalmazzák az tudományos kampuszok és magánrezidenciák internet-of-things (IoT) eszközei ellen is.
A csoport szerint az OT-rendszerek elleni támadásoknál általános a tendencia, hogy ideológiai, önző vagy pénzügyi célok érdekében próbálják átvenni az irányítást a nagyszámú nyílt végpont felett, nem pedig azért, hogy súlyos károkat okozzanak, például az alapvető infrastrukturális eszközök feletti irányítás megszerzése révén.
Az elmúlt néhány évben a kutatók megfigyelték, hogy az OT-eszközöket különböző módszerekkel veszélyeztetik, beleértve a távoli hozzáférési szolgáltatásokat és a virtuális hálózati számítástechnikát (VNC).
A "könnyen elérhető gyümölcs", amelyre sok támadó lecsap, a grafikus felhasználói felületek (GUI) - beleértve az emberi gépi interfészeket (HMI) -, amelyek egyszerű felhasználói felületeket jelentenek a komplex ipari folyamatok vezérlésére. Ennek eredményeképpen a fenyegető szereplők képesek "a folyamat előzetes ismerete nélkül módosítani a vezérlők változóit" - állítja a Mandiant.
Egy másik figyelemre méltó tendencia a hacktivizmus, amelyet az online széles körben elérhető és ingyenes oktatóprogramok látják el energiával. A kutatók a közelmúltban láttak olyan hacktivista csoportokat, amelyek Izrael- és palesztin-ellenes közösségi médiabejegyzésekben azzal hencegtek, hogy a megújuló és bányászati szektorban lévő izraeli OT-eszközöket veszélyeztették.
Úgy tűnik azonban, hogy más, alacsonyan képzett fenyegetők a hírnévre összpontosítanak, és kevés ismeretük van arról, hogy mit céloznak meg. Olyan ez, mint amikor graffitit festenek egy bekerített tarfóház falára. Nem a károkozás a lényeg, hanem a magamutogatás. Ami néha egészen nevetséges fordulatokat hoz. Két különálló esetben a fenyegető szereplők azzal hencegtek, hogy eltérítettek egy német vasúti vezérlőrendszert - csakhogy az modellvasút-készletek vezérlőállomása volt -, egy másik esetben pedig egy csoport azt állította, hogy betörtek egy izraeli "gázrendszerbe", de az nem volt más, mint egy étterem konyhai szellőztető rendszere.
Az ilyen baklövések ellenére azonban a kritikus OT-eszközök elleni sikeres támadásoknak komoly következményei lehetnek. Elég csak a Colonial Pipeline elleni zsarolóvírusos támadásra és annak következményeire gondolni.
Ahogy a behatolások száma növekszik, úgy nő a folyamatok megszakadásának kockázata is. Az ilyen incidensek nyilvánossága kerülése elfogadottá teszi az OT elleni kiberműveleteket, és arra ösztönözhet más kiberbűnözőket, hogy egyre inkább ezeket a rendszereket célozzák meg vagy befolyásolják. Ez összhangban van azzal, hogy mindinkább az OT-tevékenységeket célozzák meg a nagyobb forrásokkal dolgozó és pénzügyileg motivált csoportok. Emiatt növekszik a zsarolóvírusos támadások száma - jelezte a Mandiant. "
A kutatók azt javasolják, hogy amikor csak lehetséges, az OT-eszközöket el kell távolítani a nyilvános, online hálózatokból. Gyakrabban kellene hálózatok biztonságán szigorítani, biztonsági auditokat kellene végezni, beleértve az eszközök felderítését is, és az eszközöket úgy kellene konfigurálni, hogy megakadályozzák a potenciálisan veszélyes megváltoztatható állapotokat.
