Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2016

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ISC CERT) начинает серию регулярных публикаций наших исследований ландшафта угроз промышленных предприятий.

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их анонимную передачу.

Выполненные во второй половине 2016 годя экспертами Kaspersky Lab ICS CERT исследования наглядно иллюстрируют ряд тенденций в развитии безопасности промышленных предприятий.

1. В среднем в течение второго полугодия 2016 года продуктами «Лаборатории Касперского» во всем мире были предотвращены попытки атак на 39,2% защищаемых нами компьютеров, которые Kaspersky Lab ICS CERT относит к технологической инфраструктуре промышленных предприятий.

   В эту группу входят компьютеры, работающие на операционных системах Windows и выполняющие одну или несколько функций:

   • серверы управления и сбора данных (SCADA),
   • серверы хранения данных (Historian),
   • шлюзы данных (OPC),
   • стационарные рабочие станции инженеров и операторов,
   • мобильные рабочие станции инженеров и операторов,
   • Human Machine Interface (HMI).

   А также компьютеры сотрудников подрядных организаций, компьютеры администраторов технологических сетей и разработчиков ПО для систем промышленной автоматизации.

2. Ежемесячно в среднем каждый пятый (20,1%) промышленный компьютер подвергается атакам вредоносного ПО. Из месяца в месяц процент атакованных промышленных компьютеров растет.

   

   Процент атакованных промышленных компьютеров по месяцам в мире
   (второе полугодие 2016)

   Стабильный рост процента атакуемых промышленных компьютеров свидетельствует об актуальности проблемы кибербезопасности промышленных систем.

3. Изоляция промышленных сетей больше не может рассматриваться как мера их защиты. Доля попыток заражений вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о невозможности избежать рисков путем простого отключения системы от интернета.

   

   Источники угроз, заблокированных на промышленных компьютерах
   (второе полугодие 2016)

4. Примечательно, что рейтинги вредоносных программ, обнаруженных на промышленных компьютерах, и вредоносных программ, обнаруженных на корпоративных компьютерах, практически не отличаются. По нашему мнению, это свидетельствует об отсутствии существенных различий между компьютерами в корпоративной и технологической сетях, когда речь идет о риске случайного заражения. Но, очевидно, что в технологической сети даже случайное заражение компьютеров может привести к опасным последствиям.

   

   Распределение атакованных промышленных компьютеров по классам атакующего их вредоносного ПО (второе полугодие 2016)

5. По нашим данным, атаки на компании различных секторов промышленности все чаще становятся направленными (целевыми). Это организованные атаки, которые могут быть нацелены на одно конкретное предприятие, на несколько предприятий, компании одного промышленного сектора или на широкий круг промышленных предприятий.

   Kaspersky Lab ICS CERT обнаружил серию фишинговых атак, начавшихся не позднее июня 2016 года и продолжающихся в настоящее время. Атаки направлены преимущественно на промышленные компании – металлургические, электроэнергетические, строительные, инжиниринговые и другие. По нашей оценке, в общей сложности атакам подверглись более 500 компаний более чем в 50 странах мира.

   Вредоносные программы, используемые в атаке, – троянцы-шпионы и бэкдоры различных семейств, таких как ZeuS, Pony/FareIT, Luminosity RAT, NetWire RAT, HawkEye, ISR Stealer – не являются уникальными для данной вредоносной кампании, они весьма популярны у злоумышленников. Однако эти программы упакованы уникальными модификациями VB- и MSIL-упаковщиков, которые применяются только в данной операции. Наш опыт расследования целевых атак показывает, что кибершпионаж часто является подготовкой к следующим этапам атаки.

6. Каждая четвертая целевая атака, обнаруженная «Лабораторией Касперского» в 2016 году, была нацелена в том числе на предприятия различных индустрий – машиностроительной, энергетической, химической промышленности, транспортной и других.

7. В 2016 году «Лаборатория Касперского» провела оценку актуального состояния ИБ компонентов АСУ ТП различных производителей. По результатам исследований было выявлено 75 уязвимостей в компонентах АСУ ТП.

   

   Распределение уязвимостей, найденных «Лабораторией Касперского» в 2016 году,
   по возможностям использования

   58 из 75 обнаруженных уязвимостей мы отнесли к наиболее критичным (вес уязвимости 7.0 и более по CVSS v3.0).

   Из 75 обнаруженных в 2016 году Kaspersky Lab уязвимостей к середине марта 2017 года производителями промышленного ПО было закрыто 30.

   Подход производителей промышленного ПО и оборудования к исправлению уязвимостей и ситуацию с устранением известных уязвимостей на предприятиях нельзя назвать обнадеживающими. Систематическая работа с уязвимостями в цикле разработки ПО пока не отлажена, в частности: отсутствуют приоритеты исправления выявленных уязвимостей в соответствии с их критичностью; обновления безопасности для уже используемого ПО не выпускаются, вместо этого производитель предпочитает учесть информацию о них в следующем релизе этого ПО.

   Другая проблема – обновление и установка исправлений безопасности ПО на предприятиях. На основании наших исследований и проводимых аудитов ИБ АСУ ТП мы полагаем, что процесс установки критических обновлений для владельцев АСУ ТП промышленных объектов либо слишком трудоемкий, либо не является приоритетной задачей в общем цикле жизнедеятельности системы. В результате на многих предприятиях критические обновления на различные компоненты промышленных систем не устанавливаются годами, что делает эти предприятия уязвимыми в случае кибератак злоумышленников.

Ландшафт информационных угроз для промышленных систем становится все больше похожим на ландшафт угроз для корпоративных сетей. Необходимость повысить управляемость и, как следствие, эффективность производства приводит к появлению физических соединений сетей и сопряжению смежных информационных систем. Всё чаще применяются схожие наборы технологий, схожие архитектурные решения и сценарии использования. Вряд ли эта тенденция изменится. Как следствие, можно ожидать не только появления новых угроз, специально разработанных для промышленных предприятий, но и развития существующих, традиционных IT-угроз – их адаптацию для атак на промышленные предприятия и объекты физического мира.

Появление масштабных вредоносных кампаний, нацеленных на промышленные предприятия, говорит о том, что злоумышленники расценивают это направление как перспективное для себя. Это – серьёзный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем, производителей средств защиты. Мы всё ещё по большей части удивительно медлительны и нерасторопны, что в сложившейся ситуации грозит опасными последствиями.

Полный текст отчета читайте на сайте Kaspersky Lab ICS CERT