Számítógépes hack feltárja a pénzhiányban lévő amerikai vízművek sebezhetőségét

SZENTPÉTERVÁR, Florida (AP) – Egy hacker sikertelen kísérlete, hogy mérgezje egy kis floridai város vízellátását, aggodalomra kelti a veszélyt, mennyire sebezhetőek lehetnek az ország vízrendszerei a kifinomultabb behatolók támadásaival szemben. A tisztító telepek általában pénzhiányban vannak, és hiányzik belőlük az elektromos hálózat és az atomerőművek kiberbiztonsági mélysége.
Egy helyi seriff hétfői meglepő bejelentése, miszerint Oldsmar, ahol 15 000 lakos, vízellátása rövid időre veszélybe került múlt héten, szokatlanul átlátható volt. A gyanús eseteket ritkán jelentik, és általában mechanikai vagy eljárási hibáknak tulajdonítják – mondják a szakértők. Nincs szövetségi jelentési kötelezettség, és az állami és helyi szabályok jelentősen eltérnek.
"Az iparágban mindannyian erre számítottunk. Már régóta tudjuk, hogy az önkormányzati vízszolgáltatók rendkívül alulfinanszírozásúak és alulerőforrásasak, ami könnyű célponttá teszi őket a kibertámadások számára" – mondta Lesley Carhart, a Dragos Security vezető incidenskezelője, amely ipari vezérlőrendszerekre specializálódott.
"Sok önkormányzati vízszolgáltatóval foglalkozom kisebb, közepes és nagyvárosok számára. És sok esetben mindegyikük nagyon kis IT-s személyzettel rendelkezik. Néhányuknak egyáltalán nincs dedikált biztonsági személyzete" – mondta.
Az ország 151 000 közvízrendszere nem rendelkezik olyan pénzügyi megerősítéssel, mint a nukleáris erőművek és villamosenergia-szolgáltatók vállalati tulajdonosai. Heterogén foltmunka, kevésbé egységes technológiai és biztonsági intézkedés, mint más gazdag országokban.
Ahogy a létfontosságú infrastruktúra számítógépes hálózatai egyre könnyebben elérhetők az interneten keresztül – és a távoli hozzáférés a COVID-19 járvány idején megdőlve szaporozódva –, a biztonsági intézkedések gyakran feláldozódnak. Úgy tűnt, ez volt a helyzet Oldsmarnál.
Kiberbiztonsági szakértők szerint a Tampától 15 mérföldre északnyugatra fekvő erőműben történt támadás ügyetlennek tűnt, annyira nyilvánvaló volt. Aki pénteken egy távoli hozzáférési programot használt, amely az üzemi dolgozók által közösen jutott be, rövid időre 100-szorával növelte a lúg – nátrium-hidroxid – mennyiségét, mondta Bob Gualtieri, a Pinellas megyei seriff közül. A lúgot használják a savasság csökkentésére, de magas koncentrációban nagyon maró és éget. Megtalálható a lefolyótisztító termékekben.
A hacker bejutása továbbra is nem világos, mondta Gualtieri úr. De néhány részlet is előkerült.
Massachusetts által kiadott egy figyelmeztetés szerint a behatoló egy TeamViewer nevű távhozzáférésű programon keresztül lépett be. A tájékoztató szerint minden olyan számítógépre betöltött számítógépre, amelyeket az üzem személyzete használ, amelyek mind az erőmű vezérlőrendszeréhez voltak csatlakoztatva, hozzátéve, hogy minden felhasználó ugyanazt a jelszót használta – figyelmen kívül hagyva a kiberbiztonsági legjobb gyakorlatokat. Továbbá ezek a számítógépek "úgy tűnt, közvetlenül az internethez csatlakoztak, bármilyen tűzvédelmi védelem nélkül."
A massachusettsi tanácsadó szerint az FBI és más ügynökségek helyzetjelentést adtak ki az esetről. Az FBI szóvivője nem kívánt nyilatkozni a jelentésről.
Az Oldsmar tisztviselői nem válaszoltak a kiberbiztonsági intézkedésekről az üzem kiberbiztonsági intézkedéseivel kapcsolatban.
A betolakodó időzítése és láthatósága szinte komikusnak tűnt a kiberbiztonsági szakértők számára. Egy felügyelő, aki körülbelül 13:30-kor figyelte a növényi konzolt, látta, hogy egy kurzor mozog a képernyőn és megváltoztatta a beállításokat, mondta Gualtieri, és azonnal vissza tudta fordítani. A betolakodó öt percen belül ki-be ment.
A közvélemény soha nem volt veszélyben, bár a betolakodó "a nátrium-hidroxidot veszélyes szintre emelte" – mondta a seriff. Emellett az erőművek védelmi intézkedései észlelték volna a kémiai változást a vízellátás befolyásolásához szükséges 24 és 36 órában is, mondta.
Gualtieri úr kedden azt mondta, hogy a víz a tartályokba kerül, mielőtt elérné a vásárlókat, és "egy másodlagos vegyi ellenőrzés során elkapták volna." Nem tudta, hogy a hacker hazai vagy külföldi volt-e, és azt mondta, hogy senki, aki egy gyári alkalmazotthoz kapcsolódik, nem gyanúsítják. Azt mondta, az FBI és a Titkosszolgálat segíti a nyomozást.
Jake Williams, a kiberbiztonsági cég vezérigazgatója, a Rendition Infosec szerint a mérnökök "már azelőtt hoztak létre védelmi intézkedéseket, mint mielőtt a távirányítás kiberen keresztül létezett volna", így nagyon valószínűtlen, hogy a kibresztés "egy hibák sorozatához" vezetett volna, amely megszennyezte volna az Oldsmar vizeit.
Az elmúlt évben megnőtt a víztisztító telepök hackelési kísérletei – közölte a FireEye kiberbiztonsági cég, de a legtöbben kezdők voltak, sokan egy ipari vezérlőrendszereket kereső Shodan nevű keresőmotort használva találtak rendszerekre. Szerdai kongresszusi meghallgatáson Christopher Krebs, a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség volt igazgatója azt mondta, hogy "nagyon valószínűnek" tartja, hogy az Oldsmar hacker elégedetlen alkalmazott volt.
A Journal of Environmental Engineering 2020-as cikke megállapította, hogy a vízszolgáltatókat különféle betolakodók törték fel, köztük amatőrök, akik csak kutakáltak, elégedetlen volt alkalmazottak, profitorientált kiberbűnözők és állami támogatású hackerek. Bár ilyen esetek viszonylag ritkák voltak, ez nem jelenti azt, hogy a kockázat alacsony lenne, és hogy a legtöbb vízrendszer biztonságos lenne.
A pénteki incidens után az Oldsmar vezetői letiltották a távoli hozzáférésű rendszert, és figyelmeztették a régió többi városvezetőjét – amely a Super Bowl háziként rendezett – hogy ellenőrizzék rendszereiket.
Chris Sistrunk, a FireEye Mandiant részlegének műszaki vezetője elmondta, hogy a kiberbiztonsági problémák viszonylag újak az amerikai vízszolgáltatók számára, akiknek legnagyobb problémái a csövek téli fagyása és tönkremegyése, vagy eltömődés eldobható törlőkendőkkel. Az Oldsmar-feltörés rávilágít a több képzésre és alapvető biztonsági protokollokra való szükségességre, de nem a drasztikus intézkedésekre, például az új szabályozások átvételére.
"Tennünk kell valamit, nem tehetünk semmit. De nem szabad túlreagálni," mondta.


