апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2017 / Выпуск №03 (66) / Угрозы для АСУ ТП

Рубрика: Безопасность

Угрозы для АСУ ТП

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) обнародовал результаты своего исследования «Ландшафт угроз для систем промышленной автоматизации», проведенного во второй половине 2016 года. Знакомим читателей с некоторыми выводами этого актуального анализа киберугроз

Вредоносное ПО на системах промышленной автоматизации

Во втором полугодии 2016 года на системах промышленной автоматизации было обнаружено порядка двадцати тысяч различных модификаций вредоносного ПО, относящихся более чем к двум тысячам различных семейств.

В большинстве случаев попытки заражения промышленных компьютеров носят случайный характер, а функции, заложенные во вредоносное ПО, не являются специфичными дляатак на системы промышленной автоматизации. Таким образом, все те угрозы и категории программ, которые представляют опасность для компаний по всему миру, актуальны и дляпромышленных компаний. Среди них – троянцы-шпионы, финансовые зловреды, программы-вымогатели (включая шифровальщики), бэкдоры и программы типа Wiper (KillDisk), выводящие из строя компьютер и затирающие данные на диске.

Примечательно, что рейтинги вредоносных программ, обнаруженных на промышленных компьютерах, и вредоносных программ, обнаруженных на корпоративных компьютерах, практически не отличаются.

По нашему мнению, это свидетельствует об отсутствии существенных различий между компьютерами в корпоративной и технологической сетях, когда речь идет о риске случайного заражения. Но, очевидно, что в технологической сети даже случайное заражение компьютеров может привести к опасным последствиям.

Рисунок 1. Источники угроз, заблокированных на промышленных компьютерах (второе полугодие 2016)

Вредоносное ПО, относящееся к классам Backdoor, Trojan-Ransom, Trojan-Spy и Trojan-PSW, представляет особую опасность для компьютеров в промышленной сети.

Trojan-Ransom. Одна из разновидностей программ-вымогателей Trojan-Ransom блокирует зараженный компьютер и требует перечисления на счет злоумышленника денежных средств за разблокирование. Практически любая такая программа может полностью парализовать контроль инженеров и операторов АСУ ТП над системой автоматизации. При этом сама программа-вымогатель может не располагать какой-либо информацией об автоматизированной системе, которую она заблокировала. Другая разновидность Trojan-Ransom шифрует рабочие документы и файлы, что в случае заражения систем промышленной автоматизации также может привести к потере контроля над управляемыми системами. Так, вконце ноября 2016 года транспортная система Сан-Франциско была заражена вредоносной программой-вымогателем [2], что привело в том числе к блокированию терминалов проверки оплаты проезда. За расшифровку файлов и разблокировку зараженных систем злоумышленники требовали перевести сумму в размере 100 единиц в криптовалюте Bitcoin (что равно примерно 73 000 долларов США).

Backdoor, Trojan-Spy и Trojan-PSW. Вредоносные программы классов Backdoor, Trojan-Spy и Trojan-PSW чаще всего являются агентами ботнет-сетей, управляемых через командные серверы злоумышленников (C&C). Такие программы не только собирают и передают злоумышленнику информацию о зараженном компьютере, его пользователях и системах в сети, но могут быть использованы для целевой атаки, поскольку заложенные в них функции предоставляют злоумышленнику богатый выбор возможностей для удаленного управления.

Ботнет-активность в промышленных сетях

По данным «Лаборатории Касперского», на 5% всех атакованных промышленных компьютеров были обнаружены ботнет-агенты (вредоносное ПО с функциями удаленного управления через командные серверы) и/или признаки их активности.

В большинстве случаев ботнет-агенты выполняют неспецифичные для промышленных систем действия, такие как поиск и кража финансовой информации, кража данных аутентификации для различных интернет-ресурсов и интернет-сервисов, перебор паролей, рассылка спама, а также атаки на заданные удаленные интернет-ресурсы, в частности, атаки, направленные на отказ в обслуживании (DDoS).

Несмотря на то что перечисленные действия не направлены явно на нарушение работы какой-либо промышленной системы, такое использование системных ресурсов, а также несовместимость и/или ошибки в коде вредоносных программ и промышленного ПО могут приводить к нарушению работы сети, отказу в обслуживании (DoS) зараженной системы и других устройств в сети. Примеры таких случаев довелось наблюдать в процессе выполнения анализа защищенности промышленных предприятий, проведенного в 2016 году. Кроме того, в случае если ботнет-агент производит атаку на сторонние интернет-ресурсы (с такими случаями мы также сталкивались), у компании – владельца IP-адресов могут возникнуть репутационные риски.

Большинство ботнет-агентов являются модульным вредоносным ПО, функциональность которого может изменяться динамически, в том числе на основе данных о системе, переданных на командные серверы злоумышленников. А тех данных, которые ботнет-агенты собирают о системе по умолчанию, достаточно для точного определения компании-владельца и типа системы. Кроме того, доступ к инфицированным ботнет-агентами машинам зачастую выставляется на продажу на специализированных биржах в даркнете.

Рисунок 2. Распределение промышленных компьютеров, атакованных ботнет-агентами, по семействам ботов

По данным «Лаборатории Касперского», во втором полугодии 2016 года наиболее распространенным семейством ботнет-агентов в промышленных сетях (25,1% от всех атакованных ботами промышленных компьютеров) оказалось вредоносное ПО Andromeda (Backdoor.Win32.Androm [3]). Последнее время боты этого семейства часто используются дляорганизации спам-рассылок, а также для загрузки на зараженный компьютер модулей, шифрующих файлы на жестком диске в целях получения денег за предоставление ключа длярасшифровки.

На втором месте по количеству атакованных ботнет-агентами машин в промышленной сети (18,1% атакованных ботами машин) находятся агенты бот-сети ZeuS (Trojan-Spy.Win32.Zbot). Основной вредоносной функцией программ этого семейства является кража данных аутентификации для доступа к различным интернет-сервисам. Утечка исходного кода вредоносной программы семейства Zbot в 2011 году привела к появлению множества модификаций вредоносных программ этого семейства. Распространение ZeuS/Zbot обычно происходит через фишинговые письма и зараженные веб-сайты, с которых атакуются известные уязвимости в браузерах и плагинах, а также с использованием другого вредоносного ПО.

Вредоносные программы, составляющие ботнет Cryptowall (9,7% атакованных ботами машин), относятся к типу вредоносных программ-вымогателей семейства Trojan-Ransom.Win32.Cryptodef [4], основной функцией которых является шифрование файлов на диске в целях получения денежных средств от пользователя в обмен на ключ длярасшифровки файлов. Основным способом распространения вредоносного ПО этого семейства являются фишинговые сайты и письма, содержащие вложения с вредоносными файлами, написанными на языке программирования JavaScript. После запуска скрипт загружает на атакованную систему копию вредоносной программы семейства Cryptodef, которая шифрует файлы на зараженном компьютере и блокирует экран приветствия операционной системы. На заблокированном экране вредоносное ПО выводит сообщение стребованием перевода денег в обмен на предоставление ключа расшифровки файлов и разблокирование зараженной системы.

Целевые атаки на промышленные компании

По нашим данным, атаки на компании различных секторов промышленности все чаще становятся направленными (целевыми). Это организованные атаки, которые могут быть нацелены на одно конкретное предприятие, на несколько предприятий, компании одного промышленного сектора или на широкий круг промышленных предприятий, как в случае обнаруженной нами фишинговой атаки (см. далее).

Задача защиты от целевых атак, как правило, более сложная, чем защита от случайных заражений. В целевых атаках, помимо известных зловредов, распространяемых накиберкриминальном рынке, злоумышленники могут использовать уникальные вредоносные программы, разработанные для конкретной атаки, в том числе 0-day эксплойты. Длязапуска вредоносного ПО могут применяться и легитимные интерпретаторы кода (такие, как Perl, Python, PowerShell), что также затрудняет выявление атак на ранних стадиях. Кроме того, как показывает практика последних лет, довольно часто в атаках, перенимающих методы APT-атак, стал использоваться инструментарий публично доступных фреймворков для тестирования на проникновение.

Целевые атаки практически всегда начинаются с атаки на самое слабое звено любой защиты – на пользователей. Чтобы повысить вероятность заражения компьютеров, злоумышленники используют атаки типа watering hole и отточенные методы социальной инженерии. В результате сотрудники сами загружают и запускают вредоносное ПО накомпьютерах своей организации.

Помимо заражения машин в корпоративной сети, у злоумышленников есть способы проникнуть в изолированную технологическую сеть:

1. Таргетированное заражение USB в целях распространения зловредных программных модулей и переноса информации между компьютерами, преодоление «воздушного зазора». История знает немало примеров, где это реализовано, – атаки Stuxnet [5], Flame [6], Equation [7], ProjectSauron [8].
2. Компрометация локального ресурса в интранете, к которому есть доступ из технологической сети, или компрометация сетевого оборудования. Вариантов тут у продвинутого атакующего много: размещение watering hole-скрипта на внутреннем веб-ресурсе, подмена файлов на файловом сервере, файлов обновлений с сервера обновлений. При необходимости атакующие могут использовать какой-либо локальный сервер в качестве сервера управления для зараженного изолированного компьютера. В случае компрометации роутеров появляется возможность «слушать» трафик и извлекать различные учетные данные для дальнейшего доступа к компьютерам и ресурсам, как это было реализовано в атаках BlackEnergy2 [9].
3. Заражение компьютеров подрядчиков промышленных компаний, которые подключают свои компьютеры в технологическую сеть.

Целевая фишинговая атака на промышленные компании

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) обнаружил серию фишинговых атак, начавшихся не позднее июня 2016 года и продолжающихся в настоящее время. Атаки направлены преимущественно на промышленные компании – металлургические, электроэнергетические, строительные, инжиниринговые и другие. По оценке Центра, в общей сложности атакам подверглись более 500 компаний более чем в 50 странах мира.

Во всех исследованных Центром случаях фишинговые письма отправлялись от имени различных компаний-поставщиков, заказчиков, коммерческих организаций и служб доставки с предложением посмотреть обновленные списки цен на продукцию, требованием срочно проверить информацию по счету, уточнить расценки на продукцию, переслать якобы поврежденный файл или получить груз по накладной.

Рисунок 3. Одно из фишинговых писем

Документы, прикрепленные к письмам, представляли собой RTF-файлы, содержащие эксплойт к уязвимости CVE-2015-1641 [10], архивы различных форматов, содержащие вредоносные исполняемые файлы, а также документы с макросами и OLE-объектами, скачивающими вредоносные исполняемые файлы. Исполняемые файлы внутри документов, архивов, а также скачанные со стороннего сервера, представляют собой троянцев-шпионов и бэкдоры различных семейств, таких как ZeuS, Pony/FareIT, Luminosity RAT, NetWire RAT, HawkEye, ISR Stealer.

Анализ заголовков писем позволяет сделать вывод о том, что многие письма рассылались с почтовых серверов компаний, зараженных ранее шпионским вредоносным ПО, предназначенным для кражи учетных данных от почтовых аккаунтов.

Все вредоносные программы, используемые в атаке, не являются уникальными для данной вредоносной кампании, они весьма популярны у злоумышленников. Однако этипрограммы упакованы уникальными модификациями VB- и MSIL-упаковщиков, которые применяются только в данной операции.

На графиках ниже показано распределение атакованных компаний по отраслям промышленности. Наибольшее число атак на компании промышленного сектора приходится надолю различных компаний-производителей, в частности, промышленного оборудования, материалов и электроники. Также значительная часть атакованных компаний относится к сфере строительства и проектирования промышленных сооружений и систем автоматизации.

Рисунок 4. Распределение атакованных промышленных компаний по индустриям

Опыт расследования целевых атак показывает, что кибершпионаж часто является подготовкой к следующим этапам атаки. На основе имеющихся данных экспертам пока неудалось достоверно установить конечную цель и мотивацию злоумышленников. Расследование этой атаки продолжается.

Каждая четвертая целевая атака, обнаруженная «Лабораторией Касперского» в 2016 году, была нацелена в том числе на предприятия различных индустрий – машиностроительной, энергетической, химической промышленности, транспортной и других.

APT-атаки

APT-атаки (Advanced Persistent Threats) – наиболее опасный вид кибератак. Во многих случаях их отличает высокий уровень атакующих, техническая сложность и продолжительность – APT-атаки могут длиться годами. Это тщательно продуманные и организованные атаки, которые требуют больших ресурсов. Среди жертв APT-атак – высокопоставленные лица, службы разведок разных стран, правительственные, военные учреждения, научные организации, СМИ, промышленные компании и предприятия, относящиеся к системам критической инфраструктуры разных стран.

В подавляющем большинстве случаев цель APT-атак – кража ценной информации (кибершпионаж). Однако известны атаки с использованием вредоносных программ – промышленных диверсантов: Stuxnet [5], Black Energy [11], Shamoon Wiper (1 [12], 2 [13]), StoneDrill [14]. Эти атаки были направлены на осуществление диверсий наатакованных предприятиях и, как следствие, нарушение производственного и бизнес-процессов.

Тенденции развития безопасности промышленных предприятий

1. Стабильный рост процента атакуемых промышленных компьютеров фиксируется с начала наблюдения, что свидетельствует об актуальности проблемы кибербезопасности промышленных систем.
2. Ландшафт информационных угроз для промышленных систем становится все больше похожим на ландшафт угроз для корпоративных сетей. Необходимость повышать управляемость и, как следствие, эффективность производства приводит к появлению физических соединений сетей и сопряжению смежных информационных систем. Все чаще применяются схожие наборы технологий, схожие архитектурные решения и сценарии использования. Вряд ли эта тенденция изменится. Как следствие, можно ожидать не только появления новых угроз, специально разработанных для промышленных предприятий, но и развития существующих, традиционных ИТ-угроз – их адаптацию для атак на промышленные предприятия и объекты физического мира.
3. Изоляция промышленных сетей больше не может рассматриваться как мера их защиты. Доля попыток заражений вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о том, что невозможно избежать рисков путем простого отключения системы от интернета.
4. Подход производителей промышленного ПО и оборудования к исправлению уязвимостей и ситуацию с устранением известных уязвимостей на предприятиях нельзя назвать обнадеживающими. Подавляющее большинство промышленных предприятий годами остаются уязвимыми к компьютерным атакам.
5. Появление масштабных вредоносных кампаний, нацеленных на промышленные предприятия, говорит о том, что злоумышленники расценивают это направление как перспективное для себя. Это серьезный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем, производителей средств защиты. Мы все еще по большей части удивительно медлительны и нерасторопны, что в сложившейся ситуации грозит опасными последствиями.

1. https://ics-cert.kaspersky.ru.
2. https://www.sfmta.com/about-sfmta/blog/update-sfmta-ransomware-attack.
3. https://threats.kaspersky.com/ru/threat/Backdoor.Win32.Androm.
4. https://threats.kaspersky.com/ru/threat/Trojan-Ransom.Win32.Cryptodef.
5. https://securelist.com/blog/events/33206/the-day-the-stuxnet-died-27.
6. https://securelist.com/blog/incidents/34344/the-flame-questions-and-answers-51.
7. https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy.
8. https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt.
9. https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles.
10. https://technet.microsoft.com/en-us/library/security/ms15-033.aspx.
11. https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents.
12. https://securelist.com/blog/incidents/34369/shamoon-the-wiper-in-details-40.
13. https://securelist.com/blog/incidents/57784/shamoon-the-wiper-further-details-part-ii.
14. https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи