A Honda június 8-án erősítette meg a Twitteren, hogy kibertámadás áldozatává vált, így hálózatának egyes részei megbénultak, Japánban nem tudtak hozzáférni a belső szerverekhez, emailekhez. Az incidens kihatással volt a termelési, értékesítési és fejlesztési tevékenységekre is, le kellett állítani az Ohióban, Törökországban, Olaszországban lévő gyártósorokat.
Múlt hét pénteken még akadályba ütközött az új alkatrészek rendelése, a szervizes számlák készítése – tudtuk meg a Honda bécsi központjától, ahová kérdéseinkkel fordultunk. A kereskedők csak készletről tudtak új autókat értékesíteni, de a forgalomba helyezésükhöz szükséges dokumentumokat egyelőre nem tudták a vásárlók rendelkezésére bocsátani. A hálózati problémákat már megoldották, a központi rendszerek ismét működnek és elérhetők. A világ egyik legnagyobb gyártója (ami a gépkocsik mellett motorokat, generátorokat, munkagépeket, kísérleti gépeket és sok más mindent készít) még nem tudja felbecsülni az okozott kár mértékét. Állításuk szerint személyes adatok, ügyfelekkel kapcsolatos információk nem szivárogtak ki.
Miért pont a Honda?
A Honda központja egyelőre azt is vizsgálja, kik lehetnek az elkövetők – tájékoztatta a 24.hu-t a cég. Egyelőre csupán feltételezéseket lehet megfogalmazni az alapján, hogy jellemzően milyen szereplőknek és miért lehet vonzó célpont egy autógyártó.
Az ilyen ipari jellegű rendszerek ellen korábban intézett támadások mögött főleg állami szereplőket lehetett sejteni, melyeknek hátterében általában a stratégiai, politikai, geopolitikai vagy gazdasági aspektusok domináltak. Ez az eset a különlegesebbek közül való, mert ma úgy tűnik, hogy a rendszer titkosításával és ezen keresztül a leállításával a zsarolóknak közvetlen anyagi haszonszerzés is a céljuk lehetett
– mondta el megkeresésünkre Keleti Arthur, a kiberbiztonsági szakmában jelentős Informatikai Biztonság Napja (ITBN) fórum alapítója. A szakértő szerint a támadás egyértelműen célzott volt, mert a (feltehetően zsarolóvírus, azaz ransomware) kórokozó csak akkor terjed, ha konkrétan a megtámadott rendszerben találja magát, egyébként nem aktív.
Jelen pillanatban még nem tudni, hogy a támadók a fertőzés előtt mennyi ideig tartózkodhattak a rendszerben (ha egyáltalán benne voltak), és elloptak-e adatokat a gépek titkosítása előtt. A támadás viszont nagyon hatékonynak bizonyult, mert a jelek szerint a kórokozó eljuthatott a gyártó rendszerekig is, ezek között pedig akadt olyan, amelyet az üzemeltetők hosszabb időn át nem akartak vagy tudtak újraindítani.
Keleti említi, hogy az elemzésekben felmerül egy iráni szál is, amelyre közvetett bizonyítékok vannak például a zsarolólevélben meghagyott email cím és egyéb technikai elemek formájában, de ez ma még nem egy megalapozott feltételezés. A Honda elleni támadás ráadásul pár nappal előbb történt, mint a bahreini Bapco olajcéget ért, iráni eszközzel végrehajtott támadás.
Fiatal kártevőre gyanakodnak a szakértők
A Hondának még nincs szakértői vélemény a birtokában, a vizsgálatok jelenleg is folynak, ezért nem tudtak hivatalos választ adni arra a kérdésre, melyik kártevő okozta a problémát. Minták alapján külsős szakértők azt tartják valószínűnek, hogy az incidens az EKANS/SNAKE zsarolóvírus-családhoz kötődhet, amit tavaly év végén detektáltak először.
Erre gyanakszik Morgan Wright, a Sentinel One kiberbiztonsági cég szakembere is, aki szerint ugyan a Honda még nem tudja, miként jutott be a kártevő a rendszerbe, de szerepet játszhatott a támadás során az is, hogy a hackerek az új koronavírus témájához kapcsolódó trükkökkel nagyobb eséllyel tudják rávenni a dolgozókat arra, hogy kártékony dokumentumokat és fájlokat töltsenek le. A számok is erről árulkodnak: a Beazley biztosító 25 százalékos növekedést mért a zsarolóvírusok által megkárosított ügyfelei számában 2020 első negyedévében az előző évhez viszonyítva.
Keleti szerint a Honda ellen bevetett eszköz rokonságot mutat egy 2019 közepén felfedezett MEGACORTEX nevű kártevővel, amiben szintén voltak ipari rendszereket célzó elemek. Az EKANS a hálózatra bejutva – ha az adott gépen még nem „járt” – leállítja az ott működő szolgáltatásokat (beleértve a védelmi rendszereket, adatbázis-kezelőket is), majd titkosítja a gépen található állományokat, egyúttal egy zsarolólevélben közli: egy adott email címen lehet érdeklődni, ha a cég vissza szeretné kapni az adatait.
A legnagyobb érdekessége az EKANS-nak az, hogy ugyan nem túl fejlett módon, de egyértelműen célozza a hagyományos infrastruktúrák mellett az ipari rendszerek gépeit, szolgáltatásait is. Ez kiolvasható a leállítandó ipari szolgáltatások széles listájából, amelyeket a szoftver beépítve tartalmaz
– részletezte számunkra a kártevő működését Keleti. Mind a Honda, mind pedig egy másik EKANS-szal megfertőzött áldozat esetében található például az interneten nyitva hagyott RDP port (a távoli gép adminisztrációjára), ami egy lehetséges behatolási pontként szolgálhatott. De lehetett egy korábban állami szereplők által használt bonyolultabb behatolási technika is. Ezt azonban pontosan nem tudni.
Ipari rendszerek a célkeresztben
A szakértő szerint az incidens rámutat arra, hogy ma már számíthatunk olyan támadásokra, amelyek egyszerre veszélyeztetik az irodai és az ipari rendszereket, terjedhetnek a két rendszer között. Elhárításuk komolyabb figyelmet követel a gyártási, ipari rendszerek üzemeltetőitől is, mert például az EKANS bizonyos tekintetben (nem aláírt szoftver, még soha nem látott állomány) elkülöníthető lehetett volna,
A védekezést tovább nehezíti, hogy a támadások nagyon gyorsan zajlanak le, Keleti szerint korábbi esetekben megfigyelhető volt, hogy 24 óra alatt akár 20–30 eszközzel hajtottak végre összetett támadást ipari rendszerek ellen. Mind a hálózaton, mind a gépeken van már lehetőség fejlettebb védekezésre, valamint igénybe lehet venni SOC-ok (biztonság incidensi kezelő központok) szolgáltatásait is, de ezt akarni is kell.
Eljött az idő, amikor az ipari rendszerek üzemeltetőinek is fókuszálniuk kell a kiberbiztonságra, most már ők is a célkeresztben vannak
– összegezte Keleti.
Az Interpol Kiberbűnözés Elleni Igazgatóságának vezetője, Craig Jones is erre hívta fel a figyelmet pár hónapja. Szerinte a három évvel ezelőtt történt WannaCry-járvány kitörése óta a kiberbűnözők tovább diverzifikálták a zsarolóvírus-támadások indításához használt támadási vektoraikat. A fókuszuk és a támadásaik sokkal célzottabbá váltak, és áthelyeződtek a vállalkozásokra, a kormányzati és az egészségügyi szervezetekre, ahol az adatok kritikus fontosságúak, így nagyobb összegű váltságdíjat kérhetnek értük.
Kiemelt kép: Xinhua / AFP
