Počuli ste niekedy o termíne siegeware? Tento typ ransomvéru existuje už nejaký čas, no hovorí sa o ňom len zriedka. Útoky na inteligentné budovy stále nie sú bežnou záležitosťou, ale čoraz častejšie problémy s vyčíňajúcim ransomvérom to môžu zmeniť. Prečítajte si o siegeware viac a zistite, ako sa tejto hrozbe vyhnúť.
Predstavte si, že máte pod palcom inteligentnú budovu. Môže ísť o kanceláriu, bytový komplex či nemocnicu. Zrazu sa začnú vynárať problémy – dvere sa nechcú zamknúť alebo odomknúť, nedá sa ovládať kúrenie alebo sa zasekávajú výťahy. Ak riadiaci systém nereaguje, môžete si nájsť správu, ktorá vás vyzýva, aby ste okamžite zaplatili výkupné, inak systém zostane vypnutý. Znie to nereálne?
S nástupom siegeware a ransomvéru, ktorý sa zameriava na inteligentné budovy, je dôležité vedieť, že takýto scenár je naozaj možný. Prevádzkovatelia a vlastníci inteligentných budov by sa mali oboznámiť s touto hrozbou a vedieť, ako na ňu zareagovať.
Z ransomvéru sa stáva siegeware
S internetom vecí (IoT) na vzostupe sa kybernetickí zločinci vedia rýchlo zmocniť cudzieho majetku a použiť ho na účely vydierania, či už prostredníctvom počítačov, telefónov alebo áut (v takomto prípade hovoríme o tzv. jackware). Siegeware využíva digitálne systémy sieťovo prepojenej budovy a v niektorých prípadoch takýto prístup slúži aj na vyvolanie chaosu, napríklad prerušením dodávky elektrickej energie, odstavením výťahov, vypnutím klimatizačných systémov alebo všetkého naraz.
Majiteľ budovy je potom nútený veriť, že kontrolu nad systémom získa späť až po zaplatení objemného výkupného – to však situáciu vždy nevyrieši. Z minulých prípadov je známe, že zločinci len zriedkavo sprístupnili infikované systémy po spustení siegeware. Pre niekoho môže siegeware znieť ako nereálny problém, no táto hrozba existuje už dlhší čas.
Siegeware v reálnom živote
Vedúci pracovník realitnej spoločnosti spravujúcej desiatky budov v niekoľkých amerických mestách dostal na svoj smartfón nasledujúcu správu: „Nabúrali sme sa do všetkých riadiacich systémov vo vašej budove na ulici XXX 400 a vypneme ich na tri dni, ak do 24 hodín nezaplatíte 50 000 dolárov v Bitcoinoch.“ Budova na danej adrese je jednou z niekoľkých zdravotníckych kliník v portfóliu spoločnosti, ktoré používajú systémy na automatizáciu budov (BAS) na diaľkové ovládanie vykurovania, klimatizácie a vetrania, ako aj požiarnych hlásičov a riadiacich systémov vrátane osvetlenia či zabezpečenia. Správca zvyčajne na diaľku riadi až osem rôznych systémov.
V spoločnosti postupovali prezieravo, vypracovali účinný plán reakcie na incident a na pokus o vydieranie nereagovali. Hoci sa s takouto situáciou doposiaľ nestretli, IT tím dokázal rýchlo implementovať potrebné opatrenia. Nakoniec bola každodenná prevádzka nemocnice narušená len dočasne a incident nemal veľké následky.
Zdroj: Blog We Live Security, 2019
Vzdialený prístup: Zdroj pohodlia či nebezpečenstva?
S rastúcim stupňom automatizácie a pripojiteľnosti je neoprávnené preberanie kontroly nad ovládaním budov pomerne jednoduché: Útočníkom sa cez internet stačí „len“ nabúrať do systémov na automatizáciu, aby mohli nad všetkými funkciami prebrať úplnú kontrolu. Využívajú možnosti vzdialeného prístupu, ktorý aj pri nižších nákladoch prináša zvýšený komfort. V dnešnej dobe vedia technici riešiť problémy či implementovať nové nastavenia pomocou centrálneho riadiaceho systému z inej časti krajiny.
Problém nastáva, keď je využívanie vzdialeného prístupu zamerané na výkon, nie bezpečnosť. Výrobcovia sa v rámci ochrany prístupu často spoliehajú len na jednoduchú kombináciu používateľského mena a hesla. Integrované zabezpečenie, obranné mechanizmy proti útokom hrubou silou alebo viacúrovňové overovanie (MFA) poskytujú vyššiu ochranu, ale príliš často sa vynechávajú z finančných dôvodov.
Možné obete siegeware sa hľadajú relatívne ľahko
Ako kybernetickí zločinci prichádzajú na svoje obete? Vyhľadávač Shodan (www.shodan.io) predstavuje pomerne jednoduchý spôsob. Pri vyhľadaní skratky BAS sa objaví približne 11 095 potenciálnych cieľov po celom svete, ku ktorým sa možno dostať cez verejnú sieť. 1 162 z nich sa nachádza v USA (k 6.6.2022). Všetky ciele sú prehľadne vypísané a je k nim doplnené množstvo ďalších údajov, od IP adresy až po informácie o protokole SSL a použitom routeri. V roku 2015 prišla Michiganská univerzita s vyhľadávačom Censys, ktorý funguje podobne ako Shodan. Hackeri si vďaka nemu jednoducho vyhľadajú zariadenia pripojené na internet.
S takýmito informáciami a zoznamom obetí má útočník prakticky voľnú ruku. V najjednoduchšom prípade sa prístup pokúsi získať pomocou štandardných prihlasovacích mien a hesiel pre príslušný typ systému. Predvolené prihlasovacie údaje pre rôzne systémy možno nájsť na internete a, nanešťastie, mnohí prevádzkovatelia systémov na automatizáciu budov ich naďalej používajú bez toho, aby implementovali bezpečnejšie riešenie prístupu.
Aj v prípade zmeny prihlasovacích údajov často neexistuje žiadny systém upozornení ani obmedzenie počtu neúspešných pokusov o prihlásenie, čo umožňuje kybernetickým zločincom opakovane sa pokúšať nabúrať do účtov, až kým nie sú úspešní.
Hackeri sa zväčša spoliehajú na najčastejšie používané prihlasovacie údaje a informácie získané z dark webu alebo sa uchyľujú k útokom hrubou silou či nástrojom na crackovanie. Tie sú veľmi populárne a dajú sa ľahko nájsť na internete, navyše sú na čoraz vyššej úrovni. Ich používanie zväčša nevyžaduje žiadne úsilie. V dôsledku toho môžu útoky prostredníctvom siegeware vykonávať aj priemerní kybernetickí zločinci bez rozsiahlych znalostí.
Preberanie zodpovednosti za bezpečnosť
Ako môžete znížiť riziko takýchto útokov? Podstatné sú dve otázky: Aký vysoký je stupeň automatizácie technológií budov a ako dobre je chránený prístup k systémom? Stavitelia, správcovia nehnuteľností a dodávatelia by si mali sadnúť za jeden stôl a prediskutovať problémy spojené so zabezpečením a vzdialeným prístupom. Hoci je pohodlné kedykoľvek využívať technológiu vzdialeného prístupu len na základe webového prihlásenia, správca či vlastník často nemá dostatočné vedomosti o hroziacich nebezpečenstvách.
Pri používaní systémov BAS by si všetky zúčastnené strany mali položiť nasledovné otázky:
- Zmenili sme predvolené prihlasovacie údaje na bezpečnejšiu kombináciu jedinečného prihlasovacieho mena a hesla či prístupovú frázu?
- Sú prihlasovacie údaje chránené firewallom?
- Je prístup zabezpečený viacúrovňovým overovaním?
- Je nastavené obmedzenie neúspešných pokusov o prihlásenie vrátane blokovania?
- Dostávame upozornenie pri každom neúspešnom pokuse o prihlásenie?
- Existuje obmedzený zoznam osôb s prístupom k systémom BAS?
- Máme s dodávateľom podpísanú zmluvu o údržbe, ktorá mu stanovuje pravidelne aktualizovať náš softvér?
- Odpájame systém od internetu, keď je pripojenie nepotrebné?
- Pripravili sme plán reakcie na incidenty, aby sme v prípade výskytu akéhokoľvek problému vedeli, na koho sa obrátiť a čo robiť?
Ak je odpoveď na niektorú z týchto otázok záporná, je možné, že vaše systémy na automatizáciu budov sú zraniteľné voči kybernetickým útokom. Siegeware vám nielenže môže spôsobiť rozličné nepríjemnosti, ale riešenie takéhoto útoku vás môže stať i obrovské množstvo peňazí. Ak sa o incidente začne verejne diskutovať, napadnutá spoločnosť môže byť vnímaná ako nespoľahlivá alebo nebezpečná. Majitelia budov môžu čeliť aj súdnemu konaniu a vysokým pokutám. Siegeware ovplyvní omnoho viac než len to, že sa na chvíľu zablokuje niekoľko dverí alebo odstaví kúrenie. Oplatí sa preto oboznámiť sa s príslušnými rizikami a snažiť sa chrániť svoje systémy.