Отчет по безопасности SCADA

В последнее время промышленные системы управления (ICS), играющие важную роль в корпоративных инфраструктурах и обрабатывающей промышленности, стали чаще подвергаться изощренным кибератакам. Отчасти это последствие закономерного сближения эксплуатационных (OT) и информационных технологий (ИT). Во всех вычислительных сферах происходит расширение сетевых подключений с помощью открытых стандартов, например Ethernet и TCP/IP, и сокращение затрат за счет замены специализированного оборудования серийным аппаратным и программным обеспечением. Эти тенденции не лишены преимуществ, однако приводят к росту количества уязвимостей.

В то время как отрицательные последствия нарушений безопасности для большинства ИТ-систем сводятся к материальным потерям, атаки на системы ICS также чреваты повреждением важного оборудования и представляют собой угрозу для национальной безопасности и человеческих жизней.

Атаки на критическую инфраструктуру

Это играет принципиальную роль в том, как и почему действуют потенциальные злоумышленники. Львиную долю современных киберпреступлений составляют корыстные преступления. Достаточно вспомнить намерения злоумышленников в 2015 г., чтобы понять, почему они хотели вывести из строя системы ICS. Ниже рассмотрены одни из самых серьезных атак.

Отключение электроэнергии на Украине, впервые осуществленное в результате атаки злоумышленников

23 декабря 2015 г. несколько областей Западной Украины остались без электроэнергии в результате отключения 57 электроподстанций. Сначала это отключение объяснили нарушением работы системы контроля одной из пострадавших энергетических компаний, но позже было подтверждено, что причиной стала хакерская атака на ICS. 4 января 2016 г. данная причина отключения была подтверждена¹ украинской командой экстренного реагирования на кибератаки (CERT-UA), а этот инцидент был признан "первым отключением электроэнергии в результате кибератаки"².

Атака была выполнена сложным и хорошо спланированным способом в три этапа.

1. Заражение системы через целевые фишинговые сообщения электронной почты с вложенными документами MS Office. Эти документы содержали вредоносные макросы.

2. Отключение и предотвращение возможности восстановления путем удаления системных файлов из систем управления.

3. DDoS-атаки (распределенные атаки типа "отказ в обслуживании"), направленные на центры обслуживания клиентов различных энергокомпаний, реализованные с помощью шквала фальшивых звонков, с целью отвлечь компанию от обнаружения данной проблемы.

Вредоносные программы, используемые при этих атаках, относятся к вредоносным инструментам BlackEnergy, которые были известны с 2007 г. Использовались и другие варианты, которые также были обнаружены при сборе информации об инфраструктуре SCADA в 2014 г.

Подтверждение разведывательных атак на системы ICS в США

В декабре 2015 г. два³ доклада⁴ об атаках на системы ICS в США сообщили о выявлении разведывательных атак, то есть атак с целью сбора разведывательных данных без нарушения работы.

В первом отчете была подтверждена ранее не подтвержденная атака на систему управления ГЭС Боумен Авеню в Нью-Йорке в 2013 г. Несмотря на то что работа плотины не была нарушена, атака была направлена на сбор и поиск данных на зараженных компьютерах, вероятно, в разведывательных целях. Также было подтверждено, что к этому причастны иранские хакеры⁵.

Аналогичным образом анализ компьютеров, принадлежащих компании Calpine, "крупнейшему американскому производителю электроэнергии из природного газа и геотермальных источников"⁶, показал наличие нарушений в системе, которые позволили хакерам украсть данные компании Calpine. Украденная информация была обнаружена на одном из FTP-серверов злоумышленников, к которым подключались зараженные системы. Украденные сведения включали в себя имена пользователей и пароли, с помощью которых можно было осуществить удаленное подключение к сетям Calpine и получить доступ к подробным техническим схемам сетей и 71 электростанции на территории США.

Продажа взломанных систем SCADA на черном рынке

На форумах в Интернете были обнаружены⁷ сообщения о продаже взломанных систем SCADA, содержащие снимки экранов взломанных систем и даже три французских IP-адреса и пароля VNC. Подлинность этих учетных данных не была подтверждена. Тем не менее, это говорит о существовании вполне реальной возможности того, что уязвимые системы SCADA, полностью готовые к использованию, могут стать очередным товаром, который можно легко купить на черном рынке.

Кибератаки на промышленные предприятия

Описанные атаки – это всего лишь три примера из огромного множества. По данным из информационного бюллетеня ICS-CERT за период с октября 2014 по сентябрь 2015⁸, в 2015 финансовом году в ICS-CERT было зарегистрировано в общей сложности 295 инцидентов. Больше всего инцидентов было зарегистрировано в важных инфраструктурах производства (97,33%), на втором месте сектор энергетики (46,16%). Увеличение количества атак на важные производственные системы по сравнению с 2014 г. связано с масштабной фишинговой кампанией, направленной, в первую очередь, на компании указанного сектора наряду с ограниченными интересами в других секторах.

Одной из главных проблем организаций в вопросе обеспечения безопасности ICS-систем является, как уже сказано выше, изощренность современных киберпреступников. Но существуют и другие проблемы, такие как специализированные промышленные системы, нормативные правила и инструкции. Большинство промышленных систем управления поставляются разными производителями и используют собственные ОС, приложения и протоколы (GE, Rockwell, DNP3, Modbus). В результате хост-системы безопасности, разработанные для ИТ, недоступны для использования в системах ICS, а большинство инструментов управления безопасностью сети, разработанные для стандартных корпоративных приложений и протоколов, не поддерживают решения, используемые системами ICS.

Рекомендации

Исходя из фактов, затронутых в данной статье, очень важно дать организациям некоторые рекомендации, которые помогут не попадать в такие ситуации.

1. Остерегайтесь фишинговых сообщений электронной почты. Насколько бы правдоподобным ни выглядело фишинговое сообщение, антивирусное программное обеспечение создает дополнительный уровень безопасности, предупреждая о вредоносных вложениях. Целевые фишинговые сообщения использовались практически во всех атаках, что доказывает популярность этого приема в среде ICS-систем, а также в корпоративной среде. В рамках описанного инцидента команда ICS-CERT зарегистрировала целевую фишинговую атаку, для осуществления которой злоумышленники воспользовались учетной записью в социальной сети для отправки сообщений под видом потенциального соискателя на работу. С помощью этой учетной записи злоумышленникам удалось собрать такую информацию, как имя руководителя ИТ-отдела компании и версию используемого программного обеспечения, а также узнать сотрудников, являющихся владельцами ресурсов критической инфраструктуры. После этого данным сотрудникам было отправлено сообщение электронной почты под видом резюме предполагаемого кандидата, содержащее вложение "resume.rar". Это вложение содержало часть кода вредоносной программы, которая успешно заразила систему сотрудников, но никак не повлияла на системы управления.

2. Ведение журналов и регулярная проверка сети. Журналы являются отличным способом мониторинга активности систем и помогают собрать недостающие кусочки головоломки в случае возникновения каких-либо инцидентов. В некоторых случаях они также выполняют роль индикаторов заражения на ранней стадии. По той же причине администраторам ICS-систем настоятельно рекомендуется выполнять обслуживание журналов⁹. Другим способом обеспечения безопасности является регулярная проверка сети, которая используется для раннего выявления заражения, если таковое имеется.

Хорошая новость: в последнее время стали чаще проводиться исследования присущих системам ICS недостатков и уязвимостей, и были предприняты первые шаги по их устранению. Второй способ решения проблемы – установка единых стандартов по образцу ISA/IEC-62443 (ранее ISA-99). Стандарт ISA-99 был разработан Международной ассоциацией автоматизации (International Society for Automation, ISA), и впоследствии в целях обеспечения соответствия стандартам Международной электротехнической комиссии (International Electro-Technical Commission, IEC) ему был присвоен номер 62443. Эти документы дают представление о комплексной инфраструктуре разработки, планирования, интеграции и управления защищенными системами ICS.