October 7, 2019

Майнеры, шпионы и самораспространяющиеся зловреды: «Лаборатория Касперского» выяснила, с какими угрозами чаще всего сталкивается энергетический сектор

За первые шесть месяцев 2019 года решения «Лаборатории Касперского» заблокировали вредоносную активность почти на половине (41,2%) компьютеров в технологических сетях предприятий в разных странах мира. При этом в России этот показатель оказался выше общемирового и составил 44,8%.

Одной из наиболее атакуемых отраслей оказалась энергетика – продукты «Лаборатории Касперского» заблокировали вредоносную активность на 41,6% компьютеров систем автоматизации предприятий этого сектора. В России этот показатель составил 58,1%. 

Подавляющее большинство зафиксированных угроз не были разработаны специально для системы автоматизации объектов энергетики. Тем не менее, как показывает практический опыт и исследования экспертов Kaspersky ICS CERT, многие типы заблокированного вредоносного ПО, даже если их влияние на работу IT-систем незначительно, могут вызывать проблемы доступности и целостности систем автоматизации внутри технологического контура. Так, майнеры (заблокированы на 2,9% компьютеров АСУ), относительно безвредные в офисной сети, в процессе своей работы и распространения могут приводить к отказу в обслуживании некоторых компонентов АСУ ТП.

Вредоносные черви (заблокированы на 7,1% компьютеров АСУ), представляют большую опасность для IT-систем, но последствия их действий в технологической сети могут быть гораздо более значительными. Например, заблокированный на многих компьютерах АСУ в энергетике Syswin самостоятельно распространяется через сетевые папки и съёмные носители, уничтожая данные на заражённом устройстве. В ряде случаев это способно не только вызвать отказ в обслуживании систем мониторинга и телеуправления, но и привести к аварийной ситуации.

На 3,7% компьютеров АСУ были заблокированы многофункциональные программы-шпионы – как правило, они способны не только похищать конфиденциальную информацию, загружать и выполнять другое вредоносное ПО, но и предоставлять злоумышленникам возможность несанкционированного удалённого управления заражённым устройством. На многих компьютерах в энергетике был зафиксирован опасный троянец-шпион AgentTesla, который часто используется во вредоносных кампаниях, в том числе нацеленных на предприятия интересующих злоумышленников индустрий. 

Помимо этого, продукты «Лаборатории Касперского» неоднократно блокировали, возможно, ещё более опасное ПО – бэкдор Meterpreter, который обладает обширными возможностями организации скрытного удалённого сбора данных и управления. Этим инструментом пользуются эксперты при проведении тестов на проникновение и многие злоумышленники при реализации целенаправленных атак. Meterpreter не оставляет следов на жёстком диске, из-за чего атака может оставаться незамеченной, если компьютер не защищён современным защитным решением.

Разумеется, энергетический сектор оказался отнюдь не единственным, столкнувшимся с большим количеством киберугроз. Эксперты Kaspersky ICS CERT также зафиксировали высокий уровень вредоносной активности и во многих других отраслях, среди которых неожиданно оказались автомобилестроение и автоматизация зданий – здесь решения «Лаборатории Касперского» заблокировали вредоносную активность на 39,3% и 37,8% компьютеров АСУ соответственно.

«Технологии получения и анализа данных телеметрии для систем промышленной автоматизации – это важный инструмент, позволяющий нам определять угрозы, актуальные именно для таких систем. Он даёт возможность обнаруживать специфичные проблемы безопасности АСУ, анализировать возможные пути развития киберугроз и разрабатывать технологии их предотвращения. Полученным опытом, знаниями и экспертизой мы делимся с сообществом исследователей, разработчиков средств защиты и практиков информационной безопасности. Эта информация доступна как в форме специализированных отчётов, полезных для стратегического и тактического планирования дальнейших действий по защите предприятия, так и виде потока постоянно обновляемых индикаторов компрометации для оперативного обнаружения всех тех угроз, которые заблокировали наши продукты на компьютерах АСУ ТП по всему миру», – отметил Кирилл Круглов, ведущий исследователь угроз Kaspersky ICS CERT.   

Подробнее об угрозах для систем промышленной автоматизации читайте в отчёте Kaspersky ICS CERT: https://ics-cert.kaspersky.ru/reports/2019/09/30/threat-landscape-for-industrial-automation-systems-h1-2019/.

Для того чтобы снизить риск заражения технологической сети предприятия, эксперты Kaspersky ICS CERT рекомендуют реализовать следующий минимальный комплекс эффективных мер:

  • отслеживать информацию о появлении новых уязвимостей в информационных системах, используемых внутри АСУ ТП, наладить процесс её своевременной оценки, приоритезации и планирования работ по закрытию наиболее критичных для предприятия уязвимостей;
  • наладить процесс получения и анализа данных об угрозах, актуальных для вашего предприятия и его информационных систем с учётом региональной, отраслевой, технологической и бизнес-специфики; при возможности наладить  обмен такой информацией с другими организациями внутри отрасли, государственными регуляторами и поставщиками средств защиты – это не только вопрос организации взаимопомощи, но и возможность своевременного обнаружения целенаправленной атаки или масштабного заражения и предотвращения многих из их последствий;
  • настроить ограничения сетевого трафика по используемым портам и протоколам между сетью организации и внешним миром, а также между технологической и офисной сетью и внутри этих сетей – между их сегментами; постоянно проверять и пересматривать эти настройки при получении новой информации об уязвимостях АСУ и потенциальных угрозах;
  • организовать максимально возможные разграничения доступа к компонентам АСУ ТП в промышленной сети предприятия и на её границах; проводить регулярный их аудит и пересмотр;
  • проводить обучение по информационной безопасности и применять положения политик ИБ – как к собственным сотрудникам, так и сотрудникам партнёров, поставщиков и смежников, имеющих доступ к сети предприятия;
  • выставлять требования по ИБ, актуальные для АСУ предприятия, к продуктам, которые планируется внедрять; проводить самостоятельно, организовывать или требовать выполнения независимой оценки состояния ИБ и прохождения аттестации/ сертификации этих продуктов;
  • организовать процесс сбора и анализа информации об инцидентах ИБ на предприятии, обязательно всесторонне анализировать инциденты в технологическом контуре с привлечением экспертов ИБ, чтобы учесть возможность, что причиной инцидента могло стать случайное заражение или сложная кибератака, даже если первоначально кажется, что такая вероятность крайне мала;
  • внедрять специализированные решения (например Kaspersky Industrial CyberSecurity) для защиты конечных устройств на серверах АСУ ТП и рабочих станциях, чтобы защититься от случайных кибератак;
  • использовать решения для мониторинга сетевого трафика, анализа аномалий и обнаружения сложных угроз для лучшей защиты от целевых атак, неосторожных действий сотрудников или подрядчиков и действий возможных инсайдеров.