Berta Sándor
Hackertámadás okozta az ukrajnai áramszünetet
A tavaly decemberi eset egy jól előkészített és megszervezett hackertámadás volt.
Az Amerikai Egyesült Államok CERT csoportja és számos amerikai hivatal arra a megállapításra jutott, hogy az ukrajnai események nem emberi hibából vagy műszaki okokból következtek be. Január elején derült ki, hogy az áramkimaradás Ivano-Frankivszk közigazgatási egység területén történt, három regionális áramellátó rendszereit érintette és a BlackEnergy nevű kártevő több százezer háztartásban okozott problémákat. Az már akkor ismertté vált, hogy az esemény hátterében kibertámadás állt.
Az amerikai szakemberek most új részleteket közöltek. Ugyan a három ellátócég rendszereit sikerült egy idő után helyreállítani, de azok továbbra is csak korlátozottan működtek. Az elkövetők a támadásokat szinkronizálták és koordinálták, és az akció előtt vélhetően nagyon intenzíven kikémlelték a hálózatokat. Az egyes vállalatok elleni támadások között 30 perc telt el, s azok a központi és a regionális létesítményeket egyaránt érintették. Az akcióban több hacker vett részt, mindannyian az operációs rendszereket vagy az ipari vezérlőrendszereket vették célba. Minden esetben virtuális magánhálózatokat használtak és már jóval a végrehajtás előtt megszerezték a szükséges hozzáféréseket.
Mind a három ellátó arról számolt be, hogy a támadások után a hackerek a Killdisk nevű kártevő segítségével több rendszert is töröltek. Az adatok törlése mellett a Killdisk módosította a Master Boot Recordokat is, így a számítógépek már el sem indultak. Tönkretették az alállomások hálózati kapcsolatait azáltal, hogy az Ethernet-modulok firmwarejeit módosították. Végül manipulálták a szerverek áramellátásának vezérlését, hogy ezzel nehezítsék meg a rendszerek visszaállítását. Az viszont egyelőre tisztázatlan, hogy a BlackEnergy milyen szerepet játszott a támadásokban. A kártevő mind a három ellátó rendszereit megfertőzte.
Az amerikai belbiztonsági minisztérium elismerte, hogy a szakértői csoport nem kapott közvetlen hozzáférést az érintett rendszerekhez. Az információk a munkatársakkal készített interjúkon alapultak, a különböző feljegyzések pedig megerősítették a kapott adatokat. A csoport számos javaslatot is tett. Alapvető például, hogy a rendszerek ne csatlakozzanak nem biztonságos hálózatokhoz és főleg ne a világhálóhoz. Ezenkívül minden nem használt portot le kell zárni és a nem használt szolgáltatásokat kikapcsolni. Korlátozni kell a rendszerek táveléréseit, a modemek pedig különösen sebezhetőnek számítanak.
Az Amerikai Egyesült Államok CERT csoportja és számos amerikai hivatal arra a megállapításra jutott, hogy az ukrajnai események nem emberi hibából vagy műszaki okokból következtek be. Január elején derült ki, hogy az áramkimaradás Ivano-Frankivszk közigazgatási egység területén történt, három regionális áramellátó rendszereit érintette és a BlackEnergy nevű kártevő több százezer háztartásban okozott problémákat. Az már akkor ismertté vált, hogy az esemény hátterében kibertámadás állt.
Az amerikai szakemberek most új részleteket közöltek. Ugyan a három ellátócég rendszereit sikerült egy idő után helyreállítani, de azok továbbra is csak korlátozottan működtek. Az elkövetők a támadásokat szinkronizálták és koordinálták, és az akció előtt vélhetően nagyon intenzíven kikémlelték a hálózatokat. Az egyes vállalatok elleni támadások között 30 perc telt el, s azok a központi és a regionális létesítményeket egyaránt érintették. Az akcióban több hacker vett részt, mindannyian az operációs rendszereket vagy az ipari vezérlőrendszereket vették célba. Minden esetben virtuális magánhálózatokat használtak és már jóval a végrehajtás előtt megszerezték a szükséges hozzáféréseket.
Mind a három ellátó arról számolt be, hogy a támadások után a hackerek a Killdisk nevű kártevő segítségével több rendszert is töröltek. Az adatok törlése mellett a Killdisk módosította a Master Boot Recordokat is, így a számítógépek már el sem indultak. Tönkretették az alállomások hálózati kapcsolatait azáltal, hogy az Ethernet-modulok firmwarejeit módosították. Végül manipulálták a szerverek áramellátásának vezérlését, hogy ezzel nehezítsék meg a rendszerek visszaállítását. Az viszont egyelőre tisztázatlan, hogy a BlackEnergy milyen szerepet játszott a támadásokban. A kártevő mind a három ellátó rendszereit megfertőzte.
Az amerikai belbiztonsági minisztérium elismerte, hogy a szakértői csoport nem kapott közvetlen hozzáférést az érintett rendszerekhez. Az információk a munkatársakkal készített interjúkon alapultak, a különböző feljegyzések pedig megerősítették a kapott adatokat. A csoport számos javaslatot is tett. Alapvető például, hogy a rendszerek ne csatlakozzanak nem biztonságos hálózatokhoz és főleg ne a világhálóhoz. Ezenkívül minden nem használt portot le kell zárni és a nem használt szolgáltatásokat kikapcsolni. Korlátozni kell a rendszerek táveléréseit, a modemek pedig különösen sebezhetőnek számítanak.