Нефтегазовые компании в опасности
В первом полугодии 2020 г. вредоносные объекты были заблокированы на трети (32,2%) компьютеров АСУ ТП в России, что почти совпало со среднемировым показателем (32,6%). По сравнению с предыдущим полугодием этот показатель снизился на 6 п.п. и 11 п.п. для мира и России соответственно.
Согласно оценке экспертов, рост атак на компьютеры АСУ ТП в нефтегазовой отрасли может быть связан с появлением множества новых программ-червей, написанных на скриптовых языках, в частности Python и PowerShell. Эти зловреды умеют собирать логины и пароли из памяти системных процессоров с помощью разных версий утилиты Mimikatz. С конца марта до середины июня 2020 г. эксперты находили большое количество таких червей преимущественно в Китае и на Ближнем Востоке.
Системы автоматизации зданий часто подключены к корпоративной сети и интернету, что делает поверхность атаки больше, чем для систем АСУ ТП. Кроме того, чаще всего устройства принадлежат компаниям-подрядчикам, и, соответственно, их безопасность хуже контролируется сотрудниками отделов информационной безопасности нанимающей компании, что опять же облегчает доступ атакующим.
По данным исследования, увеличение количества атакованных компьютеров в этих инфраструктурах стало исключением на фоне глобальной тенденции к снижению количества атакованных компьютеров - как в АСУ ТП, так и в ИT-сегменте. Одной из ее основных причин стало снижение количества широкомасштабных атак и замещение их более целенаправленными. Как следствие, угрозы становятся фокусированными, а значит, более разнообразными и сложными. Стало заметно больше семейств бэкдоров, троянцев-шпионов, эксплойтов для Win32 и вредоносного ПО на платформе .NET.
Помимо этого, в первом полугодии 2020 г. продолжили атаковать компьютеры АСУ ТП программы-вымогатели. Печально известными стали инциденты, связанные с сериями атак программ-вымогателей на медицинские организации и промышленные компании в разных странах мира. Россия находится в середине мирового рейтинга по проценту компьютеров АСУ ТП, атакованных вымогателями, с 0,46%. С января этот показатель увеличивался и достиг максимума в апреле, а в мае-июне пошел на спад.
Как сообщается в исследовании, пандемия не оказала заметного влияния на статистику полугодия - за одним исключением. В этот период на предприятиях возникла необходимость выполнять многие производственные задачи дистанционно. Как следствие, выросло число компьютеров АСУ ТП, доступных удаленно по протоколу RDP. Эксперты отмечают, что с января по май вдвое вырос и процент компьютеров АСУ ТП, на которых фиксировались попытки подбора пароля к RDP. Еще одним вполне ожидаемым следствием пандемии стала эксплуатация злоумышленниками темы COVID-19 в социальной инженерии. По наблюдениям экспертов, прием оказался настолько универсальным и эффективным, что его применяют даже известные APT-группировки, атакующие в том числе промышленные компании.
Для защиты компьютеров АСУ от киберугроз эксперты "Лаборатории Касперского" рекомендуют установить защитное решение для корпоративных конечных устройств, использовать защитные решения для конечных устройств ОТ и сетей, использовать аккаунты с правами доменного администратора только при необходимости и, если проводилась аутентификация, перезагружать систему, а также внедрить политику паролей с высокими требованиями к уровню сложности и регулярной смене.
"В большинстве отраслей число атак на компьютеры АСУ ТП снизилось, однако угроз все еще достаточно", - комментирует старший исследователь-разработчик Kaspersky ICS CERT Кирилл Круглов. По его словам, чем сложнее атаки, тем выше вероятность того, что они смогут нанести серьезный ущерб, даже если они случаются реже. "В связи с вынужденным переходом на удаленный режим работы поверхность атаки стала больше. Для промышленных объектов ввиду отсутствия на местах некоторых сотрудников дополнительно стало сложнее быстро среагировать на инцидент путем, например, перевода атакованной системы в режим ручного управления. Это означает, что последствия атаки могут стать более разрушительными. Поскольку, как мы видим, системы автоматизации зданий и нефтегазовые предприятия стали чаще, чем раньше, сталкиваться с киберугрозами, мы рекомендуем владельцам и операторам таких систем принять дополнительные меры безопасности", - объясняет Кирилл Круглов.
"По нашим данным, существенно выросла доля атак, направленных на промышленность, по всему миру. Во II квартале среди атак на юридические лица она составила 15% - против 10% в I квартале", - сообщает руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. По ее оценке, в девяти из десяти атак на промышленность злоумышленники используют вредоносное ПО. Во II квартале около половины (46%) атак с использованием ВПО пришлись на шифровальщики, среди которых можно выделить Snake, Maze, Sodinokibi, NetWalker, Nefilim, DoppelPaymer. Еще 41% атак с использованием вредоносного ПО - это атаки шпионских троянов.
"Начальным вектором проникновения в атаках на промышленность становятся как фишинговые письма, так и уязвимости на сетевом периметре. Под особым прицелом взломщиков сейчас системы удаленного доступа. Например, операторы шифровальщика Sodinokibi проникли в инфраструктуру энергетической компании Elexon в Великобритании, проэксплуатировав уязвимость CVE-2019-11510 в VPN-сервере на базе решения от Pulse Secure. Через фишинговые рассылки действует, к примеру, APT-группировка RTM, атакующая промышленность в России и СНГ. Во II квартале специалисты PT Expert Security Center (PT ESC) зафиксировали 44 рассылки этой группы", - рассказывает Екатерина Килюшева.
По мнению эксперта, наибольшую опасность для промышленности представляют операторы шифровальщиков и кибершпионские APT-группы. "Если в I квартале доля промышленных компаний среди жертв шифровальщиков составляла 11%, то во II квартале она выросла до 25%. Крупные компании, которые способны заплатить большую сумму денег, становятся основной целью для этих преступников. Вывод на периметр дополнительных сервисов в связи с пандемией, появление новых тем для атак методами социальной инженерии способствуют увеличению числа атак. Кроме того, опасность может исходить со стороны злоумышленников, которые зарабатывают продажей доступов в корпоративные сети. На киберпреступном рынке растет спрос на такие услуги, а значит, у атакующих, в том числе хакеров с не самой высокой квалификацией, есть мотивация взламывать компании, чтобы затем продать полученные доступы другим группировкам", - отмечает Екатерина Килюшева.
Директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов предполагает, что применительно к системам ТЭК и транспортной отрасли возрастет количество целенаправленных скрытых атак с целью получения данных об их структуре, уязвимостях и для внедрения элементов цифрового (кибер) оружия, чтобы была возможность воспользоваться им в необходимый момент. "Вряд ли за счет этого вырастет статистика. Следует предположить, что известные данные об атаках будут в основном отражать эксплуатацию известных уязвимостей АСУ/ Industrial IoT, а также те ситуации, когда кибероружие было применено, например, в целях демонстрации его возможностей или при попадании в чужие руки", - считает Михаил Смирнов.