Ландшафт угроз для систем промышленной автоматизации в первом полугодии 2018 года

В течение многих лет специалисты «Лаборатории Касперского» обнаруживают и исследуют киберугрозы, направленные на различные информационные системы – коммерческих и государственных организаций, банков, телеком-операторов, промышленных предприятий и частных лиц. Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) публикует результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение первого полугодия 2018 года.

События полугодия

Energetic Bear / Crouching Yeti: атаки на серверы

В феврале Kaspersky Lab ICS CERT опубликовал отчет об исследовании тактики первоначального заражения, используемой широко известной APT-группировкой Energetic Bear/Crouching Yeti, и результаты анализа нескольких веб-серверов, скомпрометированных группой в течение 2016 — в начале 2017 года, предоставленных нам для исследования их владельцами.

Группировка действует по крайней мере с 2010 года и атакует организации и частных лиц в разных странах мира. Первоначально исследователи CrowdStrike обнаружили фокус на энергетику и промышленность, чем, вероятно, обусловлено название «EnergeticBear». Впоследствии, когда были выявлены более широкие интересы группировки, исследователи «Лаборатории Касперского» дали ей имя Crouching Yeti. Среди мишеней атакующих преобладают компании в Европе и в США, а в последние годы значительно выросло количество атак на компании в Турции. По утверждениям US-CERT и Национального центра кибербезопасности Великобритании (UK National Cyber Security Centre), APT-группировка Energetic Bear/Crouching Yeti связана с российским правительством.

Типичная тактика первоначального заражения, используемая группой, представляет собой многоходовую комбинацию, начинающуюся с рассылку фишинговых писем с вредоносными документами и заражения различных серверов. Некоторые зараженные серверы используются группой как вспомогательные — только для размещения различного инструментария. Другие заражаются для того, чтобы использовать их в watering hole-атаках – на одних серверах размещалась SMB-ссылка, которая вела на другие серверы, осуществлявшие кражу данных аутентификации потенциальных жертв.

За редкими исключениями для проведения атак группировка Energetic Bear/Crouching Yeti использует публичный инструментарий. Все используемые злоумышленниками утилиты, которые обнаружили эксперты Kaspersky Lab ICS CERT, имеют открытый исходный код, находящийся в свободном доступе на GitHub. Такая тактика делает задачу атрибуции атак Energetic Bear/Crouching Yeti весьма сложной без дополнительных «маркеров» группы.

В большинстве наблюдаемых Kaspersky Lab ICS CERT случаев атакующие выполняли задачи по поиску уязвимостей, закреплению на различных узлах и краже данных аутентификации для обеспечения возможности дальнейшего развития атаки.

Результаты анализа скомпрометированных серверов и действий на них атакующих показали, что для Energetic Bear/Crouching Yeti практически любой уязвимый сервер в интернете может представлять интерес в качестве «плацдарма» для развития дальнейших атак на целевые объекты.

Также весьма разнообразной оказалась география первоначальных, промежуточных и последующих целей исследованной серии атак группировки. Наибольшее количество жертв и целей оказалось в России, на втором месте – Турция и Украина. Менее половины атакованных систем имело отношение к промышленности, сельскому и коммунальному хозяйству.

Атаки на промышленные предприятия с использованием RAT

В первом полугодии мы рассказали об очередной волне рассылок фишинговых писем c вредоносными вложениями, нацеленных преимущественно на промышленные компании в России. Вредоносная программа, используемая в атаках, устанавливает в систему легитимное ПО для удаленного администрирования TeamViewer или Remote Manipulator System/Remote Utilities (RMS), которое позволяет злоумышленникам получать удаленный контроль над атакованными системами. Используются различные техники, позволяющие скрыть присутствие и активность нелегитимно установленного ПО.

При необходимости дальнейшего продвижения внутри сети скомпрометированной организации злоумышленники могут загружать дополнительный набор вредоносного ПО с учетом особенности атаки на каждую жертву. Такой набор может содержать шпионские программы (Spyware), дополнительные утилиты удаленного администрирования, вредоносное ПО для эксплуатации уязвимостей в ОС и прикладном ПО, а также утилиту Mimikatz, позволяющую получить данные аккаунтов учетных записей Windows.

Также продуктами «Лаборатории Касперского» были предотвращены множественные попытки атак, направленные на технологическую сеть автомобилестроительной/сервисной компании, в частности – на компьютеры, предназначенные для диагностики двигателей и бортовых систем грузовиков и тяжелой техники.

По меньшей мере на одном из компьютеров в технологической сети компании был установлен и периодически использовался RAT. В течение нескольких месяцев на этом компьютере было заблокировано множество попыток запуска различных вредоносных программ, запускаемых через RAT. Среди прочих были заблокированы модификации вредоносного ПО, детектируемого продуктами «Лаборатории Касперского» как Net-Worm.Win32.Agent.pm. Примечательно, что в случае запуска данный червь незамедлительно начинает распространение по локальной сети, используя эксплойты для уязвимостей MS17-010 – те самые, которые были опубликованы ShadowBrokers весной 2017 года и использовались в атаках нашумевших шифровальщиков WannaCry и ExPetr.

Помимо этого было заблокировано вредоносное ПО семейства Nymaim. Представители этого семейства часто являются загрузчиками модификаций ботнет-агента семейства Necus, который, в свою очередь, часто используется для заражения компьютеров вымогателями семейства Locky.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их анонимную передачу. В силу ограничений продукта и законодательных ограничений мы не идентифицируем конкретную компанию/организацию, от которой KSN получает статистические данные.

Методология

Данные получены с защищаемых продуктами «Лаборатории Касперского» компьютеров АСУ, которые Kaspersky Lab ICS CERT относит к технологической инфраструктуре организаций. В эту группу входят компьютеры, работающие на операционных системах Windows и выполняющие одну или несколько функций:

  • серверы управления и сбора данных (SCADA);
  • серверы хранения данных (Historian);
  • шлюзы данных (OPC);
  • стационарные рабочие станции инженеров и операторов;
  • мобильные рабочие станции инженеров и операторов;
  • Human Machine Interface (HMI).

Кроме того, в статистику включены данные, полученные с компьютеров администраторов технологических сетей и разработчиков ПО для систем промышленной автоматизации.

Атакованными мы считаем те компьютеры, на которых в течение отчетного периода хотя бы один раз сработали наши защитные решения. При подсчете процента атакованных машин используется количество уникальных атакованных компьютеров по отношению ко всем компьютерам из нашей выборки, с которых в течение отчетного периода мы получали обезличенную информацию.

Серверы АСУ ТП и стационарные компьютеры инженеров и операторов часто не имеют постоянного прямого выхода в интернет из-за ограничений технологической сети. Доступ в интернет им может быть открыт, например, на время технологического обслуживания.

Компьютеры системных/сетевых администраторов, инженеров, разработчиков и интеграторов систем промышленной автоматизации могут иметь частые или даже перманентные подключения к интернету.

Как следствие, в нашей выборке компьютеров, которые Kaspersky Lab ICS CERT относит к технологической инфраструктуре организаций, в первом полугодии 2018 года регулярно или постоянно подключались к интернету 42% машин. Остальные – не чаще, а многие значительно реже, чем раз в месяц.

Цифры полугодия

Доля атакованных компьютеров АСУ в первом полугодии 2018 в мире выросла на 3,5 п.п. и составила 41,2%. За год этот показатель увеличился на 4,6 п.п.

Доля атакованных компьютеров АСУ, H1 2017 – H1 2018

Сравнение показателей различных регионов мира показывает, что:

  • страны Африки, Азии и Латинской Америки являются гораздо менее благополучными по проценту атакованных компьютеров АСУ, чем страны Европы, Северной Америки и Австралии;
  • показатели Восточной Европы заметно выше, чем Западной;
  • процент атакованных компьютеров АСУ в Южной Европе выше, чем в Северной и Западной Европе.

Можно предположить, что такая ситуация связана с объемами средств, вкладываемых организациями в решения для защиты инфраструктуры.

Доля атакованных систем АСУ в различных регионах мира, H2 2017 и H1 2018

Основные источники заражения компьютеров в технологической инфраструктуре организаций – интернет, съемные носители и электронная почта. Несмотря на расхожее мнение об изолированности технологической сети, именно интернет за последние годы стал основным источником заражения компьютеров технологической инфраструктуры организаций.

Источники угроз для компьютеров АСУ, H1 2017 – H1 2018

В первом полугодии 2018 интернет стал источником угроз, заблокированных на 27,3% компьютеров АСУ, что на 6,7 п.п. больше показателя первого полугодия 2017 года.

Основные источники угроз, заблокированных на компьютерах АСУ в регионах, H1 2018

Больше информации о событиях полугодия, подробную статистику и рекомендации по противодействию угрозам вы можете найти в полной версии отчета (PDF).

Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team — глобальный проект «Лаборатории Касперского», нацеленный на координацию действий производителей систем автоматизации, владельцев и операторов промышленных объектов, исследователей информационной безопасности при решении задач защиты промышленных предприятий и объектов критически важных инфраструктур.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *