Центр реагирования на инциденты информационной безопасности промышленных инфраструктур “Лаборатории Касперского” (Kaspersky Lab ICS CERT) изучил производственные угрозы второй половины 2017 года. По информации аналитиков, в России за этот период хотя бы один раз были атакованы почти 50% компьютеров автоматизированных систем управления (АСУ).


Процент атакованных компьютеров АСУ по месяцам, 2017 год

Всего за прошлый год на сайте ICS-CERT были опубликованы 322 бреши ПО общего назначения и сетевых протоколов. Из них 194 представляют собой высокую и критическую степень опасности, а 127 — среднюю. Большая часть уязвимостей затрагивает системы, управляющие энергетикой (178), производственными процессами различных предприятий (164), водоснабжением (97) и транспортом (74).

В средствах промышленной автоматизации обнаружено почти 18 тысяч модификаций вредоносного ПО. Авторы отчета предупреждают, что растущая информатизация предприятий делает технологические сети похожими на корпоративные и, как следствие, уязвимыми перед распространенными IT-угрозами.

Злоумышленники получают возможность выполнять произвольный код в различных компонентах АСУ ТП, перехватывать управление оборудованием и провоцировать его остановку (Denial of Service, DoS). При этом для эксплуатации большинства уязвимостей (265 из 322) не требуется ни аутентификация, ни специальные знания и навыки.

По-прежнему серьезную угрозу для промышленных предприятий представляют собой устройства Интернета вещей. Обнаруженные в прошлом году бреши помогли преступникам создать масштабные ботнеты, такие как Reaper и новые разновидности Mirai, в том числе Satori. Эксперты “Лаборатории Касперского” подчеркнули, что наряду с новыми проблемами в IoT-устройствах до сих пор не устранены давно известные ошибки. К ним относится, например, уязвимость в гаджетах Realtek, а также обнаруженная еще в 2012 году проблема, позволяющая узнать конфигурацию конвертеров Serial-to-Ethernet.

Специалисты Центра самостоятельно выявили более 60 уязвимостей, о которых сразу сообщили производителям соответствующих продуктов. Авторы исследования отмечают, что компании стали внимательнее относиться к устранению ошибок в ПО и аппаратных решениях. Тем не менее, в одних случаях патчи готовятся слишком долго, а в других исправления касаются только последних версий продукта. Благодаря этому уязвимыми остаются многие предприятия, у которых не всегда есть средства на апгрейд своих систем. Кроме того, даже после выхода обновления пользователи часто не узнают о существующих проблемах безопасности из-за отсутствия грамотной политики информирования клиентов.

В подавляющем большинстве случаев попытки заражения АСУ носят случайный характер, а вредоносные функции не являются специфичными для промышленности. В 2017 году была опубликована информация всего о двух целевых атаках на системы производственной инфраструктуры — Industroyer и Trisis/Triton. Однако даже не имея специальных функций, традиционные зловреды могут привести к аварийной остановке технологических процессов и нанести промышленным сетям значительно больший вред, чем офисным.

Так, во втором полугодии 2017 года в “Лабораторию Касперского” обратились представители сразу нескольких предприятий, пострадавших от майской эпидемии WannaCry. Как выяснилось, они не замечали заражения, пока шифровальщик не напал на технологическую сеть. Результатом стали остановки критически важных процессов и сложного оборудования. В отдельных случаях эффект от трояна-вымогателя оказался сравним с DoS-атаками, поскольку компьютеры предприятия работали под Windows XP, которая не потянула вредоносную программу.

В 2017 году 10,8% всех систем АСУ подверглись воздействию ботнет-агентов, способных нарушить работу сети и подключенных к ней устройств. Также эти программы собирали информацию о зараженных машинах и позволяли злоумышленникам незаметно управлять ими. Авторы исследования подчеркивают, что во многих случаях вредоносный код оказывается несовместим с производственным ПО, что тоже может приводить к нарушению технологического процесса.

Основные источники угроз, заблокированных на компьютерах АСУ, процент атакованных компьютеров АСУ, первое и второе полугодия 2017 года

Как и прежде, основная масса атак происходит через Интернет, поэтому чтобы защититься от них, промышленным предприятиям следует организовать безопасный удаленный доступ к системам автоматизации и передачи данных между технологической и другими сетями. Имеет смысл выделить в отдельный сегмент мобильные устройства, терминальные серверы и прочие элементы инфраструктуры, которые обмениваются информацией с внешними системами. Через эту “демилитаризованную зону” следует вести все коммуникации между предприятием и остальным миром, а доступ оттуда в технологические сети должен быть запрещен.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости