Индустриальные угрозы

Мы обнаружили пересечение активности группы GreyEnergy, которая считается преемником группы BlackEnergy и подмножества группы Sofacy, которое получило название Zebrocy. Обе группы использовали одни и те же серверы в одно и то же время и атаковали одну и ту же организацию.

Итак, хотя судьба некоторых предсказаний на 2018 год пока туманна, мы решили рассказать вам о проблемах, которые будут в приоритете у профессионалов по защите промышленных систем в 2019 году.

Ландшафт угроз, в котором высокотехнологичные целевые атаки соседствуют со спонтанной ситуативной киберпреступностью, в котором применяются технологии манипулирования человеческой психологией как способ компрометации. Все чаще среди атакуемых устройств оказываются те, которые мы не считаем компьютерами – от детских игрушек до камер наблюдения. Представляем вам наш ежегодный обзор крупных инцидентов и ключевых тенденций 2018 года.

В процессе проведения аудитов, тестов на проникновение и расследований инцидентов мы не раз обращали внимание на наличие установленных легитимных средств удаленного администрирования ПК (Remote Administration Tool – RAT) в технологических сетях промышленных предприятий. В ряде расследованных нами инцидентов RAT были использованы злоумышленниками для атаки на промышленные организации.

Kaspersky Lab ICS CERT публикует результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение первого полугодия 2018 года.

Kaspersky Lab ICS CERT зафиксировал очередную волну рассылок фишинговых писем c вредоносными вложениями, нацеленных преимущественно на компании и организации, деятельность которых так или иначе связана с промышленным производством.

В этой статье мы рассказываем про наш проект поиска уязвимостей в реализациях протокола OPC UA. Мы хотим обратить внимание производителей ПО для систем промышленной автоматизации и промышленного интернета вещей на обнаруженные проблемы в разработке продуктов с использованием подобных общедоступных технологий.

В этом отчете представлены сведения об обнаруженных серверах, зараженных и используемых группировкой Energetic Bear/Crouching Yeti, а также приведены результаты анализа нескольких веб-серверов, скомпрометированных группой в течение 2016 – в начале 2017 года.

Центр реагирования на ИБ-инциденты промышленных инфраструктур «Лаборатории Касперского» публикует результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение второго полугодия 2017 года. Основная цель публикаций – информационная поддержка команд реагирования на инциденты, специалистов по ИБ предприятий и исследователей в области защищённости промышленных объектов.

Мы ежедневно сталкиваемся с сотнями тысяч новых угроз и видим, что злоумышленники постоянно ищут новые возможности для атак. Как показало наше исследование, подключение к компьютеру токена для контроля лицензий ПО может открывать скрытый канал удаленного доступа для злоумышленника.

Прошедший 2017 год вызвал противоречивые эмоции у ИБ-экспертов. С одной стороны, на наших глазах «оживают» проблемы, прежде считавшиеся теоретическими, а каждая новая атака открывает новое поле для исследований. C другой стороны, целью нашей работы по-прежнему остается безопасность пользователей, для которых атака порой оборачивается катастрофой.

2017 год был одним из самых насыщенных в плане инцидентов, связанных с информационной безопасностью промышленных систем. Эксперты по безопасности обнаружили сотни новых уязвимостей, исследовали новые векторы атаки на АСУ ТП и технологические процессы, собрали и проанализировали статистику случайных заражений промышленных систем и обнаружили целевые атаки на промышленные предприятия.

В 2017 году исследование «Лаборатории Касперского» показало незащищенность медицинской информации и данных пациента, размещенных в «подключенной» инфраструктуре здравоохранения. Как оказалось, информация лежит в открытом доступе в Интернете, где ее без проблем могут найти киберпреступники.

Результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение первого полугодия 2017 года.

В конце 2016 года Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» сообщил о фишинговых атаках, нацеленных преимущественно на промышленные компании. Как показали дальнейшие исследования, это была лишь часть большой истории, которая началась много раньше и вряд ли скоро закончится.