Crash Override ehk krahhiv sürjutamine

Foto: ML Banner, allikas: http://www.mlbanner.com

Autor: CERT-EE

Turvaettevõttega Dragos võttis juuni alguses ühendust Slovakkia antiviiruse tootja ESET, kes teavitas neid tööstuslike juhtimissüsteemide jaoks kirjutatud pahavara leidmisest. Dragose meeskond leidis tänu laekunud teavitusele pahavara näidiseid, tuvastas uued funktsionaalsused ning võimalikud käivitusstsenaariumid. Lisaks leidis Dragos ka kinnituse, et tegemist on sama pahavaraga, mida kasutati 2016. aasta detsembris Kiievis kõrgepinge alajaama juhtimissüsteemi ründamiseks põhjustades ulatusliku elektrikatkestuse.

“CrashOverride” või siis maakeeli “krahhiv sürjutamine”, on teadaolevalt esimene pahavararaamistik, mis on disainitud spetsiaalselt elektrivõrkude ründamiseks. Oluliseimad koostisosad on tagauks, mis tagab ligipääsu nakatunud süsteemile, laadimismoodul, mis sõltuvalt sihtmärgist valib sobiva lasti ning individuaalsed lastimoodulid.

CrashOverride käivitamise ja sõltuvuse ülevaade. Allikas: https://arstechnica.com

Mis teeb Crash Override nii kõrgetasemeliseks, on selle võime kasutada elektrivõrkude spetsiifilisi andmeside protokolle, mida kasutavad elektrivõrgu juhtimissüsteemid alajaamadega suheldes. Sellest tulenevalt on pahavara veelgi märkimisväärsem, et pahavara omab eraldiseisvaid mooduleid kõikidele tänasel päeval globaalselt levinud elektrivõrgu juhtimisprotokollidele. Pahavara kasutati Ukrainas juhtimissüsteemi matkimiseks, mis edastas alajaama lülititele korraldusi liinide sisse ja välja lülitamiseks. Lisaks elektrikatkestustele võib kõrge koormusega elektriliinide korduv lülitamine füüsiliselt kahjustada alajaamade lülitusseadmeid, põhjustades märkimisväärset varalist kahju võrguettevõttele.

Olulist:

  • Pahavara identifitseerib ennast ise mitmetes kohtades “krahhina” (crash), mille tõttu on pahavara raamistik ka oma nime saanud.
  • CrashOverride on esimene pahavararaamistik, mis on disainitud ja kasutusse võetud elektrivõrkude ründamiseks.
  • CrashOverride on teadaolevalt neljas tööstuskontrollsüsteemide vastu suunatud pahavara (esimesed kolm olid Stuxnet, BlackEnergy ja Havex) ning teine, mis on disainitud ja loodud füüsiliste protsesside halvamiseks (esimene oli Stuxnet).
  • CrashOverride ei ole unikaalne ühelegi konkreetsele seadmetootjale või konfiguratsioonile ning selle asemel kasutab ta kahju tekitamiseks ära teadmisi elektrivõrgu juhtimissüsteemide toimimise põhimõtetest ja võrgukommunikatsioonist, olles seega kasutatav nii Euroopas kui ka osades Lähis-Ida ja Aasia riikides.
  • CrashOverride on laiendatav ning mõningase vaevaga, nagu näiteks DNP3 protokollimooduli lisamisega, on see kohaldatav ka Põhja-Ameerika elektrivõrkudele.
  • CrashOverride’i saaks samaaegselt käivitada ka mitmetes asupaikades, kuid tänu kohapealsete ümberlülituste võimekusele elektrivõrgus ei oleks see stsenaarium kataklüsmiline ning sellele järgneks mõnetunnine, halvimal juhul mõnepäevane katkestus, mitte mõne-nädalane või pikem.
  • CrashOverride’i raamistik ei ole loodud spionaaži eesmärgil ning pahavara ainsaks eesmärgiks on elektrivõrgu teenuse katkemiseni viivate rünnete tekitamine.
  • CrashOverride oleks laiendatav teiste tööstusharudeni lisaprotokollimooduleid kasutades, kuid ründajad ei ole ilmutanud põhjalikke taustateadmisi teistest füüsilistest tööstusprotsessidest ning antud oletus on praegusel hetkel hüpoteetiline.
  • Dragos on tuvastanud, et CrashOverride’i taga on grupeering nimega Electrum ning Dragose hinnangu alusel on Electrumil otsesed seosed Sandwormi meeskonnaga.

Kaitsesoovitused

Lisaks tavapärastele esmastele kaitsemeetmetele on rangelt soovituslik võtta kasutusele alltoodud kaitsemeetmed:

  • Elektriettevõtete turvameeskondadel peab olema selge arusaam, kus ja kuidas kasutatakse IEC104 ja IEC61850 protokolle. Erilist tähelepanu tuleb pöörata antud protokollide andmemahtude suurenemisele võrreldes tavaolukorraga. Lisaks tuleb süsteemidest otsida antud protokollide võrguliiklust, mis ei kuulu teadaolevatele seadmetele.
  • Ära unusta OPC protkolli! CrashOverride’i käivitumise puhul on täheldada ka OPC protokolliga seadmete skaneerimist, mis tekitab tavapärasest rohkem võrguliiklust.
  • Seadmete konfiguratsiooni- ja projektifailide tagavarakoopiad peaksid olema varundatud offline andmekandjatele ning eelnevalt testitud. See aitab maandada pahavara jälgede kustutamise funktsionaalsusest tulenevat kahju.
  • Valmistage eelnevalt ette intsidendi lahendamise plaan ning võimalusel viige läbi harjutus, kaasates vajalikud huvigrupid, kaasa arvatud tehnilise-, tootmise-, infotehnoloogia- ja turvapersonali. Stsenaarium peaks hõlmama alajaamade töö katkemist ning käsitsi teostatavate toimingute tegemist SCADA keskkonna taastamiseks ning sündmuse analüüsiks vajalike tõestusmaterjalide kogumist.
  • Otsige oma võrkudest YARA reeglite ja teiste kompromiteerumise indikaatorite abil.

Lisalugemist:

Samba tarkvaras leiti kaugsissemurdmist võimaldav turvaviga

Linux Samba

Autor: CERT-EE

Sel nädalal avalikustati Samba failiserveri kriitiline turvaviga, mis ohustab paljusid asutusi ja organisatsioone. Viga kannab registreerimisnumbrit CVE-2017-7494 ning on 7 aastat vana, mõjutades kõiki Samba failiserveri versioone alates versioonist 3.5.0.

Samba on Linuxi serveri juurde kuuluv programm võrguketaste väljajagamiseks. Ka Eestis kasutatakse Linuxit ja Sambat väga sageli võrguketaste väljajagamiseks Windowsi tööjaamadele. Muuhulgas võib Samba olla kasutuses võrguketaste väljajagamiseks tehnoloogilistele seadmetele, tööpinkidele, meditsiiniseadmetele jne.

Turvaviga CVE-2017-7494 võimaldab mõne mitte ülearu keerulise tingimuse olemasolul tungida kaugelt serverisse ning käivitada selles programme (näiteks programme, mis otsivad serveris järgmisi turvavigu või hakkavad serverit kasutama sillapeana sissemurdmiseks järgmistesse arvutitesse, BitCoini arvutamiseks vms). Kriitilist haavatavust saab ära kasutada vaid ühe koodirea sisestamisega.

Hetkeseisuga on turvavea lappimiseks väljastatud paik, Linuxi administraatorid peaksid selle võimalikult kiiresti paigaldama.

Kes ja miks on haavatavad?

Samba server osutub rünnatavaks, kui Sinu arvutivõrgu installatsioonis esinevad järgmised iseärasused:

    • On teada mingi konto andmed, mille puhul on lubatud võrgukettale kirjutamine – siis saab ründaja sinna üles laadida ründeprogrammi.
    • Katalooginimed on näha või teada, teisisõnu, tegu on kergesti äraarvatavate serveriteekondadega (server paths), näiteks \\FILESERVER\TMP.
    • Lisaks, juhul kui failide ja printerite jagamise port 445 on nähtav ja ligipääsetav ka Internetist, on rünne võimalik kogu maailmast, mitte üksnes sisevõrgust.

Ründe käigus ründaja:

  • arvab ära või saab teada serveri nime ja võrguketta nime (kerge),
  • hangib suvalise kasutajatunnuse ning ühendub mõne võrgukettaga, kuhu tal on kirjutusõigus, seejärel laadib sinna üles ründeprogrammi,
  • käivitab ühe rea koodi, mis – oops! –  võtabki kogu serveri üle. See on eriti ohtlik, kuivõrd platvormist olenevalt võib ründaja kohe saada juurkasutaja (administraatori) õigused.

Kaitsemeetmed

Kõige esmane kaitsemeede on ikka ja alati sama: paigalda värsked uuendused! Praegusel juhul tuleb paigaldada Samba versioonid 4.6.4, 4.5.10 või 4.4.14.

Kui uuendamine pole võimalik, siis alternatiivne kaitsemeede on lisada Samba konfiguratsiooni parameeter (täpsustatud 26.5.2017):

nt pipe support = no

NB! Ülalmainitud parameetri muutmine võib mõjutada Windowsi klientide suutlikkust võrguketaste kasutamisel.

Kindlasti kontrolli internetist, kas Sinu kodune kettaserver (nt Synology) vajab samuti uuendamist.

Synology DiskStation DS213 plus

Allikad

Kas tahad nutta?

Autor: CERT-EE

Reede õhtul hakkasid üle maailma laekuma teated laiaulatuslikest korporatiivsetest lunavaraga nakatumistest.

Ühendkuningriigi Terviseamet (NHS – National Health Service) on ametlikult kinnitanud 16 haigla nakatumisest lunavaraga, mille tõttu on oluliselt häiritud haiglate töö. Samuti on pihta saanud Hispaania suurim sideoperaator Telefonica ning Venemaa sideoperaator Megafon. Lisaks on lunavaraga nakatunud Hispaania elektriettevõte Iberdrola ja Hispaania Gas Natural ning autotootjad Renault ja Nissan on nakatumise tõttu peatanud töö mitmes tehases.

Üle maailma levib nutvaajava kiiruse ja efektiivsusega oma nime õigustav lunavara WannaCry (tõlge: TahadNutta), mille esimesi versioone oli näha juba veebruaris. Esialgse info põhjal ei ole veel võimalik öelda, kuidas eri organisatsioonides nakatumine toimus, kuid kahtlustatakse (sihitud) õngitsuskirjade kampaaniat.

Lunavarajuhtumid ei ole viimasel ajal enam midagi ebatavalist. Antud juhtumi teeb eriliseks asjaolu, et 24 tunni jooksul on nakatunud väga palju arvuteid ning nakatumine levib massiliselt masinates ettevõtete sees. Eri andmetel on 24 tunni jooksul nakatunud üle 148 700 arvuti. Kaspersky Labi andmetel on kõige rohkem nakatumisi Venemaal, muuhulgas on kinnitatud, et nakatunud on enam kui tuhat Venemaa siseministeeriumi arvutit. Nakatumiste arvult järgnevad Ukraina, India ja Taiwan, kuid jäävad Venemaast kaugele maha.

Kaspersky telemeetria andmed geograafilistest sihtmärkidest rünnaku esimestel tundidel.
Allikas: https://cdn.securelist.com/files/2017/05/wannacry_04.png

Praeguseks on tuvastatud kolm erinevat BitCoini rahakotti, mille kohaselt on lunavara autorid teeninud juba ligi 22 000 $.

WannaCry koodist on leitud viiteid domeenile, mis toimib antud lunavara puhul kui nn “killswitch” ehk suur väljalülitamise nupp. WannaCry kontrollib, kas domeen vastab ning positiivse vastuse korral lihtsalt “pakib pillid kotti” ega krüpteeri faile. Infoturbe ekspert, kes koodist vihje leidis, registreeris domeeni kohe enda nimele ja peatas sellega praeguseks lunavara ülikiire edasise leviku. Tema “seiklustest” saab lugeda inglise keeles

Natuke teistmoodi lunavara ehk Equation Group ja MS17-010

Tähelepanu väärib antud juhtumi puhul lunavara organisatsioonisisene levimine. Lunavara levib ilma kasutaja sekkumiseta, kasutades MS17-010 haavatavust, mille Microsoft paikas kaks kuud tagasi.

WannaCry lunavara kasutab ära grupeeringu Equation loodud eksploiti Eternalblue. Equation gruppi on varasemalt seostatud NSAga.

Koodi lekitas grupp Shadow Brokers neli nädalat pärast seda, kui Microsoft väljastas turvapaiga.

Sellise massilise nakatumise on võimalikuks teinud haavatavuse iseloom ning organisatsioonide suutmatus uuendusi piisava kiirusega kõikidesse tööjaamadesse paigaldada.

Kõnealuse MS17-010 haavatavuse kohta väljastas CERT-EE teate juba 15. märtsil.
Haavatavuse näol on tegemist koodi kaugkäivitusega, mis mõjutab kõiki Windowsi versioone, kasutades SMB-protokolli versiooni v1. SMB-protokoll on võrguprotokoll, mida kasutatakse võrguressursside jagamiseks (sealhulgas failide jagamine ja printimine).

Kuid veelgi märkimisväärsem on asjaolu, et SMB-protokoll v1 on tänapäeva mõistes iidvana, ligikaudu 30 aastat. Viimane Windowsi versioon, mis vajab SMB-protokolli v1 tuge, oli Windows XP – operatsioonisüsteem, mille tootjapoolne tugi lõpetati teadupärast 8. aprillil 2014. Siiski võivad seda operatsioonisüsteemi konkreetset versiooni vajada mõned multifunktsionaalsed printerid ning samasugune pärandtarkvara (ing. k. legacy software) nagu Windows XP.

Microsoft on juba pikka aega öelnud, et SMB-protokolli 1. versiooni kasutamine on ülimalt ebaturvaline ning tuleks koheselt lõpetada: Stop using SMBv1.

Ehk siis kogu juhtumi saab taandada infoturbe põhilisetele alustaladele: uuenda ja varunda!

Ma sain pihta. Mis nüüd?

Kui Sa seda seni teinud ei ole, siis nüüd on tegelikult ka viimane aeg varundama hakata!

Veel ei ole tööriista WannaCry poolt krüpteeritud failide dekrüpteerimiseks, samuti ei ole teada, millal ja kas üldse selline tööriist üldse valmib.

CERT-EE on koostanud ka lunavarajuhtumite ennetamise ja lahendamise lühijuhendi.

Kaitsemeetmed

Lisalugemist