Аналитики ИБ-компании Dragos представили интересный отчет об атаках на промышленные системы управления. Для своего исследования специалисты изучили более 500 000 различных атак на промышленные объекты и более 30 000 вредоносных файлов и инсталляторов, которые добавляли в Virus Total с 2003 года.

Отчет Dragos демонстрирует, что большинство инцидентов с атаками на промышленные системы управления (Industrial Control Systems, ICS) – это случайности, когда в сеть предприятия попадает самая обычная малварь, совсем не предназначенная для ICS.

Как правило, промышленные системы управления состоят из двух «компонентов»: SCADA-оборудования, которое собирает данные с сенсоров и управляет машинами, а также ПО, которое позволяет людям-операторам контролировать работу оборудования. Малвари, которая способна работать на самом SCADA-оборудовании, исчезающе мало, в основном под угрозой находятся компьютеры, через которые осуществляется контроль. И хотя одно из основных правил безопасности – полная изоляция SCADA-систем и управляющих ими компьютеров от интернета и любых других сетей, к сожалению, соблюдают это правило далеко не всегда.

Исследователи Dragos пишут, что недостаток сегментирования приводит к тому, что самые обычные вредоносы, вроде Sivis, Ramnit или Virut, проникают на компьютеры, контролирующие SCADA-оборудование. Происходит это по чистой случайности, это вовсе не направленные атаки «правительственных хакеров». По словам исследователей, от таких случайностей пострадали уже более 3000 промышленных объектов. Яркий пример – малварь, найденная в 2016 году в системах электростанции Гундремминген, расположенной на юге Германии.

Впрочем, нельзя сказать, что направленных атак на промышленные системы управления не существует вовсе. Нельзя не вспомнить о таких угрозах, как Stuxnet, Havex или BlackEnergy2.

Аналитики Dragos рассказывают, что им удалось обнаружить десятки направленных ICS-атак. Наиболее интересным им показался инцидент, берущий начало еще в 2013 году. Тогда ряд предприятий заметили странное ПО, якобы предназначенное для программируемых логических контроллеров Siemens. Ряд антивирусных решений поначалу отмечали эти файлы как ложноположительные срабатывания, но потом стали определять их как малварь. Исследователи Dragos выяснили, что за последние четыре года различные вариации этих файлов, якобы предназначенных для контроллеров Siemens, стали встречаться в 10 раз чаще, а пик и вовсе пришелся на начало 2017 года. Как оказалось, все это время неизвестные злоумышленники маскировали свою малварь под прошивку для оборудования Siemens, и это работало.

Эдгард Капдевилль (Edgard Capdevielle), глава компании Nozomi Networks, занимающейся безопасностью индустриальных систем, объясняет растущее число инцидентов со SCADA-оборудованием очень просто:

«Исторически промышленные системы управления проектировать так, чтобы быть физически отделенными и ограниченными. Однако каждый новый IP-адрес пробивает новую дырку в метафорической стене, которая отделяет Information Technology (IT) от Operational Technology (OT)».

По мнению Капдевилля, нынешнее положение вещей в области безопасности систем управления напоминает ему продажу автомобилей, где ремни безопасности предлагаются лишь как дополнительная опция.



Оставить мнение