Zespół reagowania na cyberincydenty w systemach kontroli przemysłowej Kaspersky Lab (Kaspersky Lab ICS CERT) rozpoczyna serię regularnych publikacji dotyczących prowadzonych przez siebie badań poświęconych krajobrazowi zagrożeń dla organizacji przemysłowych.
Wszystkie wykorzystane w raporcie dane statystyczne zostały uzyskane przy pomocy Kaspersky Security Network (KSN) – rozproszonej sieci antywirusowej. Dane te pochodzą od użytkowników systemu KSN, którzy wyrazili zgodę na gromadzenie swoich danych w formie anonimowej.
Badanie to, przeprowadzone przez ekspertów Kaspersky Lab ICS CERT w drugiej połowie 2016 roku, wyraźnie wskazuje kilka trendów w ewolucji bezpieczeństwa przedsiębiorstw przemysłowych.
W grupie tej znalazły się komputery, które działają pod kontrolą systemu Windows i pełnią jedną lub więcej następujących funkcji:
Grupa ta obejmowała również komputery wykonawców zewnętrznych, dostawców SCADA oraz integratorów systemów, jak również wewnętrznych administratorów SCADA.
Odsetek atakowanych komputerów przemysłowych według miesiąca (druga połowa 2016 roku)
Źródła zagrożeń zablokowanych na komputerach przemysłowych (druga połowa 2016 roku)
Rozkład zaatakowanych komputerów przemysłowych według klas szkodliwego oprogramowania wykorzystywanego w atakach (druga połowa 2016 roku)
Zespół Kaspersky Lab ICS CERT wykrył serię ataków phishingowych, które rozpoczęły się już w czerwcu 2016 roku i nadal są aktywne. Ataki te uderzają głównie w firmy przemysłowe – z branży metalurgicznej, energetycznej, budowlanej, konstrukcyjnej oraz innych. Według naszych szacunków, zaatakowanych zostało ponad 500 firm w ponad 50 krajach na całym świecie.
Żaden z wykorzystanych w atakach szkodliwych programów – trojanów szpiegujących oraz backdoorów z różnych rodzin, takich jak ZeuS, Pony/FareIT, Luminosity RAT, NetWire RAT, HawkEye czy ISR Stealer – nie jest powiązany tylko z tą kampanią. Wszystkie są bardzo popularne wśród cyberprzestępców, ale zostały spakowane przy użyciu unikatowych modyfikacji narzędzi pakujących VB oraz MSIL, które zostały wykorzystane tylko w tym ataku. Z naszego doświadczenia w badaniu ataków ukierunkowanych wynika, że cyberszpiegostwo jest często wykorzystywane do przygotowywania kolejnych etapów ataku.
Podejście producentów oprogramowania przemysłowego do usuwania luk w zabezpieczeniach oraz sytuacja w zakresie łatania znanych luk w zabezpieczeniach w przedsiębiorstwach nie napawają optymizmem. Podejście do łatania luk w ramach cyklu rozwoju oprogramowania nie może być jeszcze ocenione jako zadawalające: dostawcy nie usuwają zidentyfikowanych luk według poziomu ich krytyczności, wolą załatać je w kolejnym wydaniu swojego produktu niż wypuszczać poprawkę lub łatę, która jest krytyczna z punktu widzenia bezpieczeństwa IT.
Kolejną kwestią jest instalacja aktualizacji i łat bezpieczeństwa w przedsiębiorstwach. Na podstawie naszego badania oraz audytów bezpieczeństwa IT systemów kontroli przemysłowej uważamy, że właściciele systemów kontroli przemysłowej albo postrzegają proces instalowania krytycznych aktualizacji jako zbyt pracochłonny, albo nie stanowi on dla nich zadania o wysokim priorytecie w ogólnym cyklu życia systemu. W efekcie, w niektórych przedsiębiorstwach krytyczne aktualizacje różnych komponentów systemów przemysłowych nie są instalowane przez wiele lat, co naraża takie przedsiębiorstwa na zagrożenia w razie cyberataków.
Sieć przemysłowa coraz bardziej przypomina tą korporacyjną – zarówno pod względem scenariuszy użycia jak i wykorzystanych technologii. Wykorzystywane są nowe technologie, które zwiększają przejrzystość i wydajność procesu na każdym poziomie przedsiębiorstwa, jak również zapewniają elastyczność i odporność na błędy funkcji realizowanych na średnim i niższym poziomie automatyzacji przemysłowej. W efekcie krajobraz cyberzagrożeń dla systemów przemysłowych coraz bardziej przypomina krajobraz zagrożeń dla sieci korporacyjnych. Dlatego należy spodziewać się nie tylko powstania nowych zagrożeń ukierunkowanych na przedsiębiorstwa przemysłowe, ale również ewolucji aktualnych, tradycyjnych zagrożeń IT, która będzie polegała na dostosowaniu ich do ataków na przedsiębiorstwa przemysłowe oraz obiekty w świecie fizycznym.
Pojawienie się przeprowadzanych na dużą skalę kampanii z udziałem szkodliwego oprogramowania wymierzonych przeciwko przedsiębiorstwom przemysłowym świadczy o tym, że tzw. czarne kapelusze postrzegają ten obszar jako obiecujący. Jest to poważne wyzwanie dla całej społeczności twórców systemów automatyzacji przemysłowej, właścicieli i operatorów takich systemów oraz producentów rozwiązań bezpieczeństwa.
Pełny raport (w wersji angielskiej) jest dostępny na stronie Kaspersky Lab ICS CERT.
Analizy
Blog