Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Indie. „Przejęli kontroler domeny” w największej elektrowni atomowej. Ślad prowadzi do unikatowego komputera z Korei Północnej…
Informacja zaczęła wypływać chyba od tego dość alarmującego Twitta:
So, it’s public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit.
Rząd w Indiach najpierw zdementował informację, niewiele później jednak ją potwierdził (choć bez podania szczegółów ataku). Co ciekawe, wcześniej cytowany badacz wskazał na VirusTotalu wgraną próbkę malware wykorzystanego w ataku. Pewne fragmenty malware (np. zahardkodowany adres IP) mogą sugerować przygotowanie celowanego ataku w konkretną infrastrukturę.
W wyżej cytowanym rządowym oświadczeniu czytamy, że sieć sterowania elektrownią jest odseparowana od sieci produkcyjnej, która też nie jest podłączona do Internetu. Tak w zasadzie powinno być. Z innej strony widzieliśmy już naprawdę wiele rzeczy, które w rzeczywistości są zrobione „inaczej niż powinno być” i inaczej niż jest na papierze ;-)
W każdym razie sporo osób pisze bardziej o akcji wywiadowczej niż o ataku np. na stabilność obiektu. Mając dostęp do kontrolera domeny w takiej organizacji zapewne można obłowić się ciekawymi dokumentami…
Czy coś więcej wiemy o ataku? Na razie jest z tym tak sobie, choć pojawiają się kolejne informacje. Np. że do ataku użyto komputera „lokalnej północnokoreańskiej produkcji”:
We have confirmed that one of the hackers who attacked India’s nuclear energy sector is using a North Korean self-branded computer produced and used only in the North Korea. And the IP used by one of the hackers was from Pyongyang, North Korea. This is more valuable than malware.
–ms