В рубрику "АСУ ТП" | К списку рубрик | К списку авторов | К списку публикаций
В начале 2018 г. в процессорах Intel, ARM64 и AMD были обнаружены уязвимости, позволяющие получить несанкционированный доступ к содержимому виртуальной памяти. Атаки, использующие эти уязвимости, были названы Meltdown и Spectre.
Выявленная проблема связана с тремя уязвимостями:
Атаки Spectre позволяют пользовательскому приложению получить данные другой программы, Meltdown, – также содержимое памяти ядра.
Данная проблема затронула множество компьютеров, серверов и мобильных устройств под управлением операционных систем Windows, macOS, Linux, Android, iOS и Chrome OS, использующих уязвимые микропроцессоры. Промышленное оборудование – серверы SCADA, промышленные компьютеры и сетевые устройства с уязвимыми процессорами – также оказалось подвержено уязвимостям Meltdown и Spectre.
Одной из первых об уязвимостях своих продуктов заявила компания Cisco. Среди затронутых устройств – маршрутизаторы Cisco 800 Industrial Integrated Services и коммутаторы Industrial Ethernet 4000.
Затем уведомления о влиянии уязвимостей Meltdown и Spectre на свои продукты опубликовали другие промышленные вендоры.
Об уязвимости десятков своих продуктов, включая системы управления, различные промышленные компьютеры и HMI, проинформировала своих клиентов PHOENIX CONTACT.
В числе уязвимых продуктов компании Yokogawa оказались станция управления (FCS) системы CENTUM VP/CS 3000 и контроллер системы безопасности (SCS) для системы противоаварийной защиты ProSafe-RS.
Уязвимости Meltdown и Spectre затронули также промышленное оборудование Siemens: устройства RUGGEDCOM APE и RX1400 VPE, панели оператора SIMATIC HMI серии Comfort, промышленные компьютеры SIMATIC IPC, программируемый логический контроллер SIMATIC S7-1500 Software Controller и др.
Помимо информации об уязвимостях Meltdown и Spectre компания Siemens сообщила о подверженности своих решений еще двум брешам из группы уязвимостей под названием Spectre Next Generation (Spectre-NG), которые были обнаружены позднее в мае 2018 г.
Информацию об использовании уязвимых процессоров в своих продуктах опубликовали также Schneider Electric, ABB, OSIsoft и другие вендоры.
В феврале 2018 г. в СМИ появилось сразу несколько сообщений о заражении промышленных предприятий вредоносным программным обеспечением с функцией майнинга криптовалюты.
В одной из водоочистных станций в Европе зараженными оказались четыре сервера под управлением операционной системы Windows XP с программным обеспечением CIM-PLICITY SCADA от компании GE Digital. Вредоносное ПО замедляло работу HMI и SCADA-серверов, используемых для мониторинга технологических процессов.
Атаке подверглись также облачные серверы компании Tesla с целью использования части их мощностей для добычи криптовалюты Monero. Киберпреступники атаковали фреймворк Kubernetes, который эксплуатируется в инфраструктуре ведущего производителя электромобилей, и внедрили в него вредоносное ПО для генерации криптовалюты.
По данным KL ICS CERT, эти широко обсуждаемые инциденты далеко не единичны и отражают общую неутешительную тенденцию.
С апреля 2018 г. в "Лаборатории Касперского" начали использовать более точные вердикты для сбора статистики о майнерах. Как следствие, по нашей статистике процент компьютеров АСУ, атакованных вредоносными программами для майнинга криптовалют, с апреля резко вырос и по итогам первого полугодия 2018 г. достиг 6% – это на 4,2 п.п. больше, чем в предыдущем полугодии (рис. 1).
Основная проблема, связанная с работой вредоносных программ-майнеров, заключается в увеличении нагрузки на промышленные информационные системы, что может оказаться неприемлемым для систем промышленной автоматизации – угрожать стабильности их функционирования и снижать уровень контроля за технологическим процессом предприятия.
6 апреля по всему миру были зафиксированы массовые атаки на коммутаторы Cisco IOS. Атаки привели к сбою в работе некоторых интернет-провайдеров, дата-центров и Web-сайтов.
Злоумышленники использовали уязвимость CVE-2018-0171 в программном обеспечении Cisco Smart Install Client. По результатам исследований команды Cisco Talos, в мире насчитывается более 168 тыс. потенциально подверженных ей устройств. Для атаки использовался специальный бот, который обнаруживает уязвимые устройства, перезаписывает на них образ системы Cisco IOS и меняет конфигурационный файл. В результате этого устройство становится недоступным.
В основном атакам подверглись организации России и Ирана. По данным Cisco Talos, среди компаний, подвергшихся атакам, оказались и объекты критической инфраструктуры.
В мае 2018 г. было обнаружено новое вредоносное ПО VPNFilter, которое заразило не менее 500 тыс. маршрутизаторов и устройств хранения данных (NAS) в 54 странах мира.
Вредоносная программа VPNFilter имеет сложную модульную архитектуру, компоненты которой реализуют различные функции, среди них – сбор сетевого трафика и данных, выполнение команд и управление устройством, перехват пакетов, а также мониторинг протоколов Modbus и взаимодействие с управляющим сервером через сеть Tor.
Для инфицирования зловред использует различные известные уязвимости, однако вектор заражения на данный момент неясен. При заражении на устройство устанавливается устойчивый к перезагрузке устройства компонент, способный загружать дополнительные вредоносные модули.
Таким образом, VPNFilter требует пристального внимания ИБ-сообщества, так как этот зловред может быть использован для кражи учетных данных, обнаружения промышленного SCADA-оборудования, а также проведения различных атак с использованием зараженных устройств в составе ботнета.
В июне 2018 г. стало известно о масштабной кибератаке с территории Китая на телекоммуникационные предприятия, операторов спутников связи, а также оборонных подрядчиков в США и странах Юго-Восточной Азии.
В ходе атаки злоумышленники инфицировали компьютеры, используемые для управления спутниками связи и сбора данных геопозиций. По мнению экспертов, целью кибератаки были шпионаж и перехват данных из гражданских и военных каналов связи. Однако потенциально атака могла привести к несанкционированному изменению позиций устройств на орбите и помехам при обмене данными.
Среди обнаруженных зловредов – троянцы Rikamanu и Syndicasec, программа для похищения данных Catchamas, кейлоггер Mycicil и бэкдор Spedear.
Для заражения вредоносным ПО злоумышленники использовали легитимные инструменты и средства администрирования PsExec, Mimikatz, WinSCP и Log-MeIn. Такая тактика позволяет атакующим скрывать свою активность и оставаться незамеченными.
Обнаруженные ботнеты по-прежнему состоят преимущественно из незащищенных IP-камер и маршрутизаторов. Однако постепенно злоумышленники начинают использовать другие типы умных устройств. Так, в апреле 2018 г. был обнаружен ботнет, состоящий в том числе из интернет-телевизоров. Этот ботнет использовался для осуществления DDoS-атак на организации финансового сектора.
В условиях столь бурного развития вредоносного ПО, нацеленного на устройства Интернета вещей, существенным стало известие о появлении общедоступного инструмента для автоматического поиска и взлома уязвимых IoT-устройств. Публикация таких программ в открытом доступе может значительно расширить круг злоумышленников, использующих IoT-устройства для атак на компьютерные системы и сети.
Несмотря на глобальное уменьшение количества пользователей, атакованных программами-вымогателями, процент компьютеров АСУ, на котором были заблокированы атаки вымогателей, вырос с 1,2 до 1,6%. Хотя этот показатель и кажется не очень значительным, опасность такого рода вредоносных программ для промышленных предприятий трудно недооценивать после WannaCry и ExPetr.
В первом полугодии вымогатели напомнили о себе опасной ситуацией, возникшей в медицинском учреждении в результате заражения вредоносным шифровальщиком. Согласно сообщениям СМИ, злоумышленники атаковали Федеральный центр нейрохирургии в Тюмени. В ходе атаки злоумышленникам удалось получить доступ к серверам, на которых располагались компоненты медицинской информационной системы "МЕДИАЛОГ", используемой в качестве базы данных для снимков, результатов анализов и другой информации, необходимой в процессе лечения пациентов.
В результате в тот момент, когда необходимо было начать экстренную операцию на головном мозге 13-летней пациентки, обнаружилось, что система "МЕДИАЛОГ" недоступна, как позже выяснилось, из-за того, что файлы, необходимые для работы сервисов, были зашифрованы вредоносной программой. К счастью, медикам удалось успешно провести операцию, несмотря на потерю доступа к значимой информации о результатах диагностики.
Центр нейрохирургии в Тюмени оказался не единственной жертвой данной серии атак. Установлено, что злоумышленники целенаправленно атаковали именно медицинские учреждения, при этом шифрованию подверглись исключительно файлы, находящиеся на серверах, которые обеспечивают работу сервисов, критически важных для работы организации. Это говорит о намерении причинить как можно больший ущерб рабочим процессам медицинской организации.
Эта серия атак является ярким примером того, что злоумышленники могут не просто выводить из строя компьютерные системы медицинских учреждений, но и оказывать непосредственное влияние на процесс лечения пациентов.
Продуктами "Лаборатории Касперского" были предотвращены множественные попытки атак, направленные на технологическую сеть автомобилестроительной/сервисной компании, в частности на компьютеры, предназначенные для диагностики двигателей и бортовых систем грузовиков и тяжелой техники.
По меньшей мере на одном из компьютеров в технологической сети компании был установлен и периодически использовался RAT. В течение нескольких месяцев на этом компьютере было заблокировано множество попыток запуска различных вредоносных программ, запускаемых через RAT. Среди прочих были заблокированы модификации вредоносного ПО, детектируемого как Net-Worm.Win32.Agent.pm. Примечательно, что в случае запуска данный червь незамедлительно начинает распространение по локальной сети, используя эксплойты для уязвимостей MS17-010 – те самые, которые были опубликованы ShadowBrokers весной 2017 г. и применялись в атаках нашумевших шифровальщиков WannaCry и ExPetr.
Помимо этого было заблокировано вредоносное ПО семейства Nymaim. Представители этого семейства часто являются загрузчиками модификаций ботнет-агента семейства Necus, который, в свою очередь, часто используется для заражения компьютеров вымогателями семейства Locky.
Основываясь на периодичности попыток запуска вредоносного ПО через RAT и других данных, мы полагаем, что эти аутентификации RAT были скомпрометированы и использовались злоумышленниками для атаки из Интернета на компьютеры данной организации.
Наличие программ для удаленного администрирования (RAT) на компьютерах АСУ иногда является производственной необходимостью, однако они становятся очень опасными, если используются злоумышленниками или попадают под их контроль.
Сравнение показателей различных регионов мира (рис. 4) демонстрирует, что:
Можно предположить, что такая ситуация связана с объемами средств, вкладываемых организациями в решения для защиты инфраструктуры. По оценкам аналитической компании IDC, в 2017 г. крупнейшими рынками ИБ с географической точки зрения являлись США и Западная Европа.
Показатели стран внутри отдельных регионов могут значительно отличаться. Так, на фоне большинства стран Африки наиболее благополучная обстановка наблюдается в ЮАР, а среди стран Среднего Востока заметно лучше дело обстоит в Израиле и Кувейте.
Анализ соответствия процента атакованных компьютеров АСУ в каждой из стран и их позиций в рейтинге по уровню ВВП на душу населения продемонстрировал, что между этими показателями существует высокая положительная корреляция (c множественным коэффициентом корреляции R = 0,84 и коэффициентом значимости P < 0,001). За некоторыми исключениями в странах с высоким уровнем ВВП на душу населения (первые места в соответствующем рейтинге) процент атакованных компьютеров АСУ меньше, чем в странах с низким уровнем ВВП.
Семь из десяти самых неблагополучных стран (рис. 5) по проценту атакованных компьютеров АСУ в 2017 г. не попали в первую сотню стран по уровню ВВП на душу населения.
Высокий показатель процента атакованных компьютеров АСУ в развивающихся странах может быть связан с тем, что их промышленность относительно молодая. Как известно, зачастую при проектировании и введении в эксплуатацию индустриальных объектов первоочередное внимание уделяется экономическим аспектам их работы и физической безопасности технологического процесса, а обеспечению информационной безопасности ставится значительно более низкий приоритет.
Вероятно, те несколько примеров, которые отмечены на диаграмме (рис. 6), – это некоторые страны, в которых доступные ресурсы используются для защиты промышленных активов от кибератак более (над пунктирной линией) или менее (под пунктирной линией) эффективно, чем в других странах.
Чтобы оценить уровень вредоносной активности в разных странах, мы посчитали процент всех атакованных компьютеров (домашних, корпоративных пользователей и компьютеров АСУ) в каждой стране (рис. 6). Обнаружили, что существует высокая положительная корреляция (c множественным коэффициентом корреляции R = 0,89 и коэффициентом значимости P < 0,001) между процентом атакованных компьютеров АСУ и показателем вредоносной активности в стране (процентом всех атакованных компьютеров).
Эти данные согласуются с предположением, что компьютеры в инфраструктуре технологических сетей, сопряженные с корпоративной сетью и/или подключающиеся к Интернету даже эпизодически, в подавляющем большинстве случаев подвергаются атакам вредоносного ПО в той же мере, в которой им подвергаются такие традиционные для злоумышленников мишени, как офисные компьютеры организаций и частных лиц в той же стране.
Отметим, что почти во всех странах, где в течение полугодия было атаковано не менее половины всех компьютеров АСУ (рис. 5), процент атакованных машин в инфраструктуре технологических сетей оказался выше, чем показатель по всем атакованным компьютерам в стране. Такая ситуация вызывает особую тревогу, учитывая, что, по данным Всемирного банка и Организации экономического сотрудничества и развития, восемь стран из этого списка – Индонезия, Китай, Индия, Иран, Саудовская Аравия, Мексика, Филиппины и Малайзия – в 2017 г. по объему промышленного производства вошли в топ-30.
Основные источники заражения компьютеров в технологической инфраструктуре организаций – Интернет, съемные носители и электронная почта.
Интернет за последние годы стал основным источником заражения компьютеров технологической инфраструктуры организаций. Более того, процент компьютеров АСУ, на которых были заблокированы попытки загрузки вредоносного ПО из Интернета, доступ к известным вредоносным и фишинговым Web-ресурсам, фишинговые письма и вредоносные вложения, открываемые в почтовых Web-сервисах через браузер, растет.
Если год назад, в первом полугодии 2017 г., Интернет стал источником угроз, заблокированных на 20,6% компьютеров АСУ, с которых мы получаем обезличенную статистику, то в первом полугодии 2018 г. – уже на 27,3% (рис. 7).
Современные технологические сети трудно назвать изолированными от внешних систем. В настоящее время сопряжение технологической сети с корпоративной сетью необходимо как для управления производством, так и для администрирования промышленных сетей и систем. Вынужденной необходимостью может быть и доступ к Интернету из технологической сети, например, для сопровождения и технической поддержки систем промышленной автоматизации сотрудниками организаций-подрядчиков. Компьютеры подрядчиков, разработчиков, интеграторов, системных/сетевых администраторов, которые подключаются к технологической сети обслуживаемого предприятия извне (напрямую или удаленно) и при этом часто имеют свободный доступ к Интернету, также могут быть одним из каналов проникновения вредоносного ПО в технологические сети.
Кроме того, такой канал создают подключения к Интернету компьютеров из технологической сети через сети мобильных операторов (с помощью мобильных телефонов, USB-модемов и/или Wi-Fi-роутеров с поддержкой 3G/LTE). Второе и третье места среди наиболее распространенных источников заражения промышленных сетей заняли съемные носители информации и почтовые клиенты соответственно. Показатели по этим источникам заражений за полугодие изменились незначительно.
Показатели по остальным источникам заражений не превышают 1% и остались на уровне прошлого полугодия.
Для противодействия угрозам, описанным в данном отчете, мы рекомендуем принять ряд мер по обеспечению информационной безопасности.
Предлагаемый список мер приведен в порядке, который, по опыту наших специалистов, соответствует убыванию соотношения их важности и сложности реализации.
Список не следует считать исчерпывающим. При его составлении мы ориентировались на проблемы информационной безопасности промышленных предприятий и систем промышленной автоматизации, обнаруженные и проанализированные нами в ходе исследований, проделанных в течение отчетного периода.
Так, он не включает такие меры, как конфигурация межсетевого экрана для запрета обращения извне технологической сети по протоколам, используемым для автоматизации технологического процесса, и запрет прямого обращения к узлам технологической сети из Интернета. Основываясь на результатах проделанных нами аудитов и тестирования технологических сетей промышленных предприятий на проникновение, мы считаем, что подавляющее большинство организаций подобные меры уже применяют на практике.
Эти меры помогают сделать первый шаг на пути к защите технологических объектов предприятия. По нашему мнению, эти меры применимы для большинства организаций, вне зависимости от уровня зрелости их процессов обеспечения информационной безопасности.
1. Защитить все узлы промышленной сети от вредоносных атак при помощи средств антивирусной защиты:
2. Настроить правила сетевых экранов на границе технологической сети:
3. Настроить защиту от спамовых и фишинговых рассылок на границе и внутри корпоративной сети:
4. Настроить антивирусную защиту на периметре сети организации и контроль обращения к вредоносным и потенциально опасным интернет-ресурсам.
5. Провести аудит использования почты внутри технологической сети:
6. Провести аудит использования папок общего доступа внутри технологической сети:
7. Провести аудит использования сторонних средств удаленного администрирования внутри технологической сети, таких как VNC, RDP, TeamViewer RMS/Remote Utilities. Удалить все средства удаленного администрирования, не обусловленные производственной необходимостью.
8. Отключить средства удаленного администрирования, поставляемые вместе с ПО АСУ ТП (обратитесь к документации на соответствующее ПО за детальными инструкциями), если в их использовании нет производственной необходимости.
9. Провести аудит использования в технологической сети прочего ПО, которое существенно увеличивает поверхность атаки систем АСУ. В случае если использование этого ПО не обусловлено технологической необходимостью, деинсталлировать его. Особое внимание уделить следующим типам ПО:
10. Выключить Windows Script Host, если его запуск не требуется для работы ПО АСУ ТП и не обусловлен другой производственной необходимостью.
11. При возможности ограничить использование привилегий SeDebugPrivilege для локальных администраторов систем промышленной сети предприятия при помощи групповых политик домена Windows (может требоваться для работы некоторого ПО, например MS SQL Server, – обратитесь к документации производителей соответствующих систем).
Применение этих мер для недостаточно зрелых организаций может потребовать существенных временных либо ресурсных затрат, налаживания новых процессов киберзащиты, изменений штатного расписания, а также осложняться прочими обстоятельствами.
Первый шаг на пути к защите технологических объектов предприятия
1. Наладить процесс обучения персонала предприятия кибергигиене:
2. Организовать службу информационной безопасности и киберзащиты промышленных информационн
3. Ввести практику регулярных аудитов состояния ИБ информационных систем технологической сети:
4. Наладить процесс своевременного устранения уязвимостей безопасности систем технологической сети:
5. Использовать следующие специализированные технологии автоматических средств защиты. Как правило, это требует тонкой настройки, тщательного тестирования и развитых процессов мониторинга и реагирования на инциденты ИБ:
6. Внедрить специализированные средства регистрации и автоматизации процедуры обработки инцидентов ИБ в технологической сети предприятия.
7. Наладить процесс получения и обработки информации об актуальных угрозах:
Это может помочь своевременно и правильно среагировать на новую атаку и предотвратить инцидент.
1. Понимая, что полностью изолировать технологическую сеть от смежных сетей чаще всего невозможно, для организации более безопасного удаленного доступа к системам автоматизации и передачи данных между технологической и другими сетями, имеющими различные уровни доверия, мы рекомендуем:
2. Перед развертыванием и вводом в строй новых систем и компонентов АСУ ТП рекомендуем проводить их тестирование на предмет соответствия требованиям безопасности, включая поиск известных и новых уязвимостей, – как часть процесса аттестации новых компонентов АСУ ТП. Это позволит существенно сократить затраты на обеспечение ИБ систем после их внедрения.
3. При прочих равных рекомендуем отдавать предпочтение продуктам, производители которых ставили безопасность во главу угла при разработке архитектуры своих продуктов, например используя подход правильного разделения доменов безопасности и реализуя принципы MILS (Multiple Independent Layers of Security).
4. Для защиты от атак типа "человек посредине" рекомендуем рассмотреть настройку криптостойкого шифрования трафика внутри и на границе технологической сети, как минимум там, где это позволяют используемое оборудование, особенности бизнес- и технологического процесса предприятия.
5. В ряде случаев можно настроить шифрование трафика между компонентами технологической сети, даже если эта функциональность не поддерживается соответствующим оборудованием, при помощи дополнительных средств. Рекомендуем проконсультироваться с производителем ваших систем автоматизации.
6. Для доступа персонала к системам технологической сети желательно настроить использование двухфакторной аутентификации.
7. Для упрощения поддержки процедур и процессов аутентификации и шифрования рекомендуем развернуть инфраструктуру PKI.
8. Для снижения рисков атак через цепочку поставщиков и подрядчиков (Supply Chain) рекомендуем рассмотреть возможность внедрения политики, механизмов и процедур контроля подключения устройств (например, ноутбуков подрядчиков и инженеров) к технологической сети.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018