A CERT Polska 2025-ös, az energetikai szektorra vonatkozó incidensjelentése arra emlékeztet, hogy sok kiberbiztonsági incidens nem fejlett technikákkal vagy ismeretlen sebezhetőségek kihasználásával kezdődik. Ehelyett olyan alapvető sebezhetőségekkel indulnak, amelyeket soha nem javítottak ki: alapértelmezett bejelentkezési adatok, felügyelet nélküli hozzáférés, a támadók által törölhető naplófájlok, valamint olyan biztonsági mentések, amelyek nem tartalmazzák a valóban fontos rendszereket.
A leírt esetek közül többben a támadóknak nem kellett különösebben megerőltetniük magukat. A környezet már eleve kedvezett nekik.
Hogyan alakultak ki a támadások
A jelentés számos olyan esetet ismertet, amikor a támadók már jól ismert útvonalakon hatoltak be. Az adathalász e-mailek, a rosszindulatú mellékletek, a feltört weboldalak és a védelem nélküli szolgáltatások mind gyakori kiindulási pontok voltak. Amint egy végpontot sikerült feltörniük, a támadók arra összpontosítottak, hogy észrevétlenül mozogjanak, ehhez pedig legitim eszközöket és szabványos protokollokat használtak.
A belső hálózatokon belüli eszközöket gyakran biztonságosnak tartották. Ez a feltételezés tévesnek bizonyult. A hálózati berendezéseket, az adminisztrációs felületeket és az operációs rendszereket néha alapértelmezett vagy megosztott hitelesítő adatokkal állították be. Néhány esetben a támadóknak egyáltalán nem volt szükségük kihasználható biztonsági résekre, egyszerűen csak bejelentkeztek.
A távoli hozzáférés is szerepet játszott. A VPN-kapcsolatokat nem mindig ellenőrizték alaposan, és a hitelesítési eljárások környezetenként eltérőek voltak. A csatlakozás után a támadók RDP-munkameneteket és SMB-fájlmegosztást használtak a hálózaton belüli oldalirányú terjedéshez, így beleolvadva a normál forgalomba és elkerülve az azonnali észlelést.
Miért jelentik az alapértelmezett hitelesítő adatok még mindig az egyik legnagyobb kockázatot?
Az alapértelmezett hitelesítő adatok továbbra is az egyik legkönnyebben elkerülhető kockázatot jelentik, mégis folyamatosan felbukkannak a valós incidensekben. A jelentés egyértelműen rámutat arra, hogy ez nem csupán az internethez kapcsolódó eszközökre vonatkozik. A belső rendszerekben – beleértve az operatív technológiai (OT) komponenseket és az irányítószervereket is – változatlan hitelesítő adatok maradtak fenn, vagy túl széles körű rendszergazdai hozzáférést biztosítottak.
A támadók először ezeket a réseket keresik. Amint megtalálják őket, gyorsan és észrevétlenül átveszik az irányítást.
Az alapértelmezett hitelesítő adatok megváltoztatása, a megosztott fiókok korlátozása és a kiváltságos hozzáféréssel kapcsolatos elszámoltathatóság biztosítása nem fejlett intézkedések, hanem alapvető követelmények. Ha ezek hiányoznak, minden más is nehezebbé válik.
A végrehajtás utáni észlelés már késő
Érdemes megjegyezni, hogy egyes esetekben a végpontbiztonsági eszközök valóban észlelték a rosszindulatú tevékenységeket. Ez segített a károk korlátozásában. Az észlelés azonban gyakran csak akkor történt meg, amikor a kártevő már futott.
A kártevőprogram futtatását követően a támadók ellophatják a bejelentkezési adatokat, módosíthatják a beállításokat, és tartós jelenlétet biztosíthatnak maguknak. Ekkor a védekezés már bonyolultabbá és zavaróbbá válik.
A jelentés kiemeli, hogy mennyire fontos a fájlok ellenőrzése azok futtatása előtt. Az e-mail mellékleteket, a letöltött fájlokat és a cserélhető adathordozókon keresztül bejuttatott fájlokat át kell vizsgálni és fertőtleníteni, mielőtt azok eljutnának az operációs rendszerekbe. A fenyegetések már a behatolási ponton történő megakadályozása csökkenti a későbbi tisztítási munkák szükségességét.
Figyeljük meg, mit használnak valójában a támadók
A jelentésben leírt számos eset nem feltűnő biztonsági rések kihasználását, hanem inkább oldalirányú mozgást jelentett: ilyenek voltak például a rendszerek közötti RDP-kapcsolatok, az eszközök átvitelére használt SMB-megosztások, valamint az apró konfigurációs módosítások, amelyek idővel behatolási lehetőségeket teremtettek.
A belső kommunikáció figyelemmel kísérése rendkívül fontos. A kelet-nyugati irányú forgalom gyakran kevesebb figyelmet kap, mint az internet felé irányuló tevékenység, pedig a támadók éppen itt töltik az idejük nagy részét, miután bejutottak a rendszerbe.
A konfigurációs módosításokra is ugyanolyan figyelmet kell fordítani. Firewall , a VPN-beállítások és az Active Directory-jogosultságok nem változhatnak meg észrevétlenül. A szervezeteknek pontosan látniuk kell, hogy mi változott, ki hajtotta végre a módosítást, és miért. A váratlan változások gyakran a biztonsági incidens legkorábbi jelei.
Naplófájlok és biztonsági másolatok: azok a részek, amelyeket a támadók megpróbálnak megsérteni
A jelentés azt is bemutatja, hogy a támadók hogyan veszik célba a naplózási és helyreállítási folyamatokat. Bizonyos esetekben a naplókat törölték vagy meghamisították, ami lassította a nyomozást és korlátozta a történtek megértését.
A rendszerfigyelő naplókat olyan biztonságos helyre kell továbbítani, ahol a támadók nem tudják azokat módosítani vagy törölni. Ideális esetben a naplók csak egy irányba kerülnek továbbításra. Ha a támadók törölni tudják a naplókat, el tudják tüntetni a nyomokat.
A biztonsági mentésekre is ugyanolyan gondot kell fordítani. Sok szervezet biztonsági másolatot készít a konfigurációkról, de figyelmen kívül hagyja a firmware-t, a teljes rendszerképeket és a végpontok állapotát. Ha a firmware vagy a rendszer bináris fájljai sérülnek, a konfigurációs mentések önmagukban nem elegendőek. A helyreállításhoz elengedhetetlen a tiszta firmware, a szervermentések és a megbízható végpontképek.
A lényeg
A CERT Polska jelentése nem az eszközök hiányából eredő hibákat tárgyalja. Hanem azokat a hibákat, amelyek az alapvető szabályok figyelmen kívül hagyásából fakadnak, például:
- Az alapértelmezett hitelesítő adatok változatlanok maradtak.
- A távoli hozzáférés nem kerül teljes körűen figyelemmel kísérésre.
- A naplófájlok olyan helyen voltak tárolva, ahol a támadók hozzáférhettek hozzájuk.
- A rosszindulatú szoftvert csak akkor észlelték, miután már aktívvá vált.
Szerencsére néhány támadást még azelőtt észleltek, hogy komoly zavarokat okozott volna. De a szerencse nem tekinthető biztosítéknak.
Az energetikai szervezeteknek a támadási lánc korábbi szakaszában kell csökkenteniük a kockázatot – még mielőtt a kártevő programok elindulnának, a hitelesítő adatokkal visszaélnének, és a támadók eltüntetnék a nyomokat. A jelentés egy dolgot világossá tesz: a támadók kiszámítható útvonalakat használnak. Ez pedig azt jelenti, hogy a védelem ezeket lezárhatja.
Ezek a javítások nem különlegesek, de sürgősek.
Ne várja meg, amíg a kártevőprogram elindul, mielőtt cselekedne. Tudjon meg többet OPSWAT MetaDefender hogyan akadályozza meg a fenyegetéseket a behatolási ponton azáltal, hogy átvizsgálja és megtisztítja a fájlokat, mielőtt azok eljutnának a kritikus rendszereibe.
