W czasach internetu rzeczy nawet tak niepozorne urządzenie jak ekspres do kawy może pozwolić hakerom na włamanie. Przekonała się o tym firma, która ucierpiała w związku z „surface attack„, czyli atakiem skierowanym na najsłabsze ogniwo w organizacji. Opisujemy jak został przeprowadzony.

Jeden z pracowników europejskiego przedsiębiorstwa z branży paliwowej opisał w serwisie Reddit atak na swoją firmę. Gdy lokalna serwerownia przestała działać, okazało się, że jej komputery zostały zainfekowane oprogramowaniem ransomware, choć nie były podłączone do internetu. Kiedy wymazano pamięci komputerów i ponownie zainstalowano oprogramowanie, wirus ciągle pozostawał aktywny. Dopiero po szczegółowym dochodzeniu okazało się, że przyczyną infekcji był… ekspres do kawy, który łączył się z lokalną siecią serwerowni, zamiast z izolowaną siecią Wi-Fi. W ten sposób przestępcy mogli dostać się do komputerów w pokoju kontrolnym i zainfekować urządzenia.

Nawet lodówka czy ekspres do kawy mogą wpływać na cyberbezpieczeństwo (graf. Pixabay)

Był to typowy przykład tzw. surface attack, czyli popularnej formy ataku wymierzonego w najsłabsze ogniwo, przez które można dostać się do pozostałych maszyn. Infekcja mogła mieć poważne konsekwencje, ponieważ istniała szansa dotarcia w ten sposób do sieci przemysłowej i wpływania na pracę sterowników PLC (Programmable Logic Controller) oraz innych elementów systemu. Potencjalnie istniało ryzyko zatrzymania produkcji lub nawet katastrofy ekologicznej.

Piotr Kałuża z firmy StormShield, zajmującej się cyberbezpieczeństwem, podkreśla, że zaatakowana firma powinna drobiazgowo przebadać ten przypadek:

– Analizę ataku należy przeprowadzić od dołu, czyli od komputerów działających w sterowni. Jeżeli zostałyby one zabezpieczone programem antywirusowym, ten wówczas zatrzymałby rozprzestrzenianie się infekcji. Właściwą ochroną byłaby również przeprowadzona wcześniej segmentacja sieci, która pozwoliłaby stworzyć bezpieczne połączenie dla ekspresu do kawy, nienarażając tym samym urządzeń, znajdujących się w sterowni. Pomocne byłyby też systemy IPS (Intrusion Prevention System), monitorujące ruch sieciowy i blokujące zagrożenie już na poziomie przesyłu danych – wyjaśnia Piotr Kałuża.

 

Eksperci z zakresu bezpieczeństwa IT zaznaczają, że hakerzy coraz częściej wykorzystują urządzenia, o których możemy rzadziej myśleć jako o istotnych puntach systemu w tym kontekście. Popularne są ataki np. za pośrednictwem drukarek lub nawet klimatyzatorów. Wynika to z faktu, że nierzadko zaniedbuje się aktualizowanie oprogramowania podobnych peryferyjnych sprzętów, co ustawia je w roli wspomnianych wcześniej słabych ogniw sieci.

 

 

 

 

Źródło: chip