Компании Kaspersky Lab и Symantec сообщают о росте числа атак на промышленные системы управления (ICS). Эти атаки отличаются некоторыми особенностями: они направлены больше против развивающихся стран, чем Западной Европы и США, основная масса атак осуществляется через интернет, съемные носители или электронную почту, вредоносный код для криптовалют ежемесячно атакует 1-4% ICS.

Как отмечает портал eWeek, в мае началось бурное заражение маршрутизаторов для дома и малого офиса, а также сетевых устройств хранения новой модульной системой вредоносного кода VPNFilter. По данным Cisco, было инфицировано свыше 500 тыс. устройств в 54 странах. Более того, это вредоносное ПО производило сканирование в поисках трафика по протоколу Modbus, который применяется во многих ICS.

Данная атака — всего лишь новая кампания, нацеленная на промышленные, производственные и управляющие системы. Вызывает большую тревогу, что чисто цифровые угрозы могут нанести физический ущерб. Особенно если будут задействованы разрушительные возможности VPNFilter, говорится в исследовании этого вредоносного ПО, проведенном сотрудниками Cisco Talos Intelligence.

«Особенно беспокоит поведение этого вредоносного ПО на сетевом оборудовании, поскольку компоненты VPNFilter позволяют выкрасть учетные данные с веб-сайта и вести мониторинг протоколов Modbus SCADA, — отмечают исследователи. — Наконец, вредоносный код обладает разрушительным потенциалом, способным превратить зараженное устройство в неработоспособное. Это может быть сделано на отдельных машинах-жертвах и в массовом порядке. Сотни тысяч жертв по всему миру могут быть отключены от интернета».

В целом специализирующиеся на безопасности фирмы сообщают об увеличении числа атак на ICS. Собирая данные с систем, защищенных с помощью ее ПО, Kaspersky Lab обнаружила, что за шесть месяцев 2018 г. по крайней мере один раз были атакованы 41,2% систем (по сравнению с 36,6% в первой половине 2017 г.).

Атаки были направлены против систем под управлением Windows, осуществляющих функции диспетчерского управления и сбора данных (SCADA), служащих серверами хранения данных или шлюзами данных в операционных сетях или используемых инженерами и операторами в качестве рабочих станций.

Symantec констатировала шестикратный рост атак против своих клиентов по сравнению с прошлым годом, спектр обнруженных угроз разнообразен.

Не все атаки против ICS одинаковы

Хотя Kaspersky Lab и Symantec отмечают скачок количества атак на ICS, эти системы, похоже, не подключены к важнейшей инфраструктуре, считает Дейл Питерсон, генеральный директор фирмы Digital Bond, которая занимается консалтингом в области безопасности ICS. «Вы не можете увидеть ICS в целом, — сказал он. — Вы видите небольшие компании или недорогие ICS в корпоративных сетях. Отчеты показывают, что эти системы стали чаще атаковаться. Но это не энергетические системы и не большие системы водоснабжения, которые составляют важнейшую инфраструктуру».

У крупных провайдеров важнейшей инфраструктуры, с которыми работает Питерсон, успешные атаки наблюдаются редко. Хотя он признает, что даже у таких провайдеров имеются проблемы в области безопасности. Наиболее опасными для них являются атаки против администраторов, использующих удаленный доступ с внешних рабочих станций. Против них часто применяются фишинговые атаки.

Хотя такие атаки труднее спланировать и осуществить, они способны вызвать ощутимые последствия. «Проникнуть в эти сети труднее, чем прежде, но если это удается, сети становятся небезопасны, — сказал Питерсон. — Потому что они спроектированы небезопасными. Если вы вошли в систему, в вашем распоряжении все ее особенности и функции».

Атаки, как правило, довольно примитивны

В отчете за первую половину 2018 г. Kaspersky Lab отметила, что операция под названием Energetic Bear (название дано из-за связи с РФ и нацеленности на энергетические компании) имеет более широкий охват, чем первоначально предполагалось, и переименовала ее в Crouching Yeti («крадущийся йети»), чтобы не акцентировать привязку к РФ. Хотя главные цели атакующих находились в США и Западной Европе, были взломаны различные веб-сайты, производственные и инфраструктурные компании, а также правительственные органы.

Однако в целом атаки были довольно примитивны. Использовались документы PDF для фишинга, установщики ПО с троянцами и атаки типа waterhole через взломанные сайты-приманки. После успешного проникновения в компьютер могли устанавливаться дополнительные модули для расширения позиций атакующего. Эксперты рекомендуют промышленным предприятиям уделять больше внимания осознанию киберугроз сотрудниками и принимать современные меры кибербезопасности, начиная с контроля над доступом и трафиком по периметру сети и заканчивая усилением защиты оконечных точек ICS посредством удаления и блокирования ненужного ПО, разделения привилегий и усиления контроля за вынужденным использованием инструментов удаленного администрирования, когда эти инструменты необходимы, как, например, при удаленном обслуживании.

Атакующие нацеливаются на определенные регионы

Атакующие продолжают сосредотачивать усилия на конкретных регионах мира. Если принять за 100% количество систем, защищенных с помощью ПО Kaspersky Lab, то среди организаций Азии, Африки и Латинской Америки процент пострадавших от атак выше по сравнению с компаниями в Северной Америке, Западной Европе и Австралии. Предположительно такая ситуация связана с объемом средств, вложенных организациями в решения для защиты инфраструктуры.

Съемные носители остаются значительной угрозой во многих из наиболее часто атакуемых государств. Азия, Латинская Америка и Средний Восток показывают гораздо более высокую долю заражений через съемные носители, чем РФ, Европа и Северная Америка. Между тем, атаки с помощью электронной почты, хотя они часто эффективны, встречаются не столь часто. Возможно потому, что они нацелены на небольшую группу сотрудников каждой фирмы.

Подключенные к интернету системы подвергаются наибольшему риску

Хотя атаки посредством съемных носителей и электронной почты встречаются часто, наибольшее число атакующих используют широко распространенное сканирование имеющих выход в Интернет систем для создания плацдарма в уязвимой сети, констатирует Kaspersky Lab. В первой половине 2018 г. из интернет-источников производилось свыше 27% атак по сравнению с 20,6% за тот же период 2017 г.

«Вопреки расхожему мнению об изоляции управляющих сетей за последние годы интернет превратился в главный источник заражения компьютеров в промышленных сетях организаций», — утверждает Kaspersky Lab.

Однако Питерсон из Digital Bond подчеркнул, что атаки, наблюдаемые специализирующимися на безопасности компаниями, это, по всей вероятности, те, которые обрушиваются на мелкие фирмы, чьи системы защищены не так тщательно, как важнейшая инфраструктура в странах Запада. «О чем действительно сообщает исследование, так это о том, что все еще имеется множество легких жертв, — сказал он. — Я не вижу, чтобы в ценной важнейшей инфраструктуре было много Windows-серверов, напрямую подключенных к интернету».

Менеджеры думают, что системы защищены лучше, чем считают их операторы

В мире ICS имеется еще одно несоответствие. Высокопоставленные менеджеры думают, что их системы более безопасны, чем считают операционные инженеры и другие сотрудники, непосредственно работающие с этими системами, утверждает старший аналитик SANS Institute Барбара Филкинс.

В новейшем докладе «The 2018 SANS Industrial IoT Security Survey: Shaping IIoT Security Concerns» показано, что почти три четверти компаний уверены или до некоторой степени уверены в своей способности обеспечить безопасность своих систем промышленного Интернета вещей. Руководители компаний и менеджеры подразделений гораздо оптимистичнее оценивают состояние безопасности по сравнению с сотрудниками операционных подразделений.

«Те, кто непосредственно сталкиваются с риском, менее уверены в своей способности защитить операционную сеть, — отметила Филкинс. — Менеджмент, по сути дела, более уверен, чем должен быть, и ему следует прислушиваться к тем, кто находится ниже в пищевой цепочке».

Компаниям необходимо повысить наглядность, обучать сотрудников операциям по защите и лучше сегментировать свою сеть, чтобы ограничить возможности атакующих зайти сбоку после того, как будет создан плацдарм, говорится в докладе SANS Institute.