Per pirmuosius šešis 2019 m. mėnesius „Kaspersky“ saugumo sprendimai daugelyje energetikos sektoriaus ICS (angl. Industrial Control System) kompiuterių aptiko kenkėjišką veiklą. Aukų kompiuteriuose dažniausiai (beveik 14 proc.) buvo aptinkamos trys pagrindinės grėsmės: kirminai, šnipinėjimo programos ir kriptovaliutos „kasėjai“. Tai yra viena iš pagrindinių „Kaspersky ICS CERT“ 2019 m. pirmojo pusmečio ataskaitos išvadų, rašoma pranešime spaudai.
Pramoniniai kibernetiniai incidentai yra vieni iš pavojingiausių, nes jie gali sukelti gamybos prastovas, apčiuopiamus finansinius nuostolius ir yra gana sunkiai įveikiami. Tai ypač svarbu, kai incidentas įvyksta kritiniuose, tokiuose kaip energetika, sektoriuose. 2019 m. pirmojo pusmečio statistika, kuri buvo gauta iš „Kaspersky“ automatiškai apdorojamų saugumo technologijų, parodė, kad tie, kurie valdo energetinius sprendimus, turėtų pasisaugoti. Per stebėtą laikotarpį „Kaspersky“ produktai kenkėjišką veiklą aptiko beveik pusėje (41,6 proc.) energetikos sektoriaus ICS kompiuterių. Taip pat buvo užblokuota daugybė įprastų kenkėjiškų programų, kurios nebuvo skirtos ICS tipo įrangai.
Tarp šių kenkėjiškų programų didžiausią pavojų kėlė kriptovaliutos „kasėjai“ (2,9 proc.), kirminai (7,1 proc.) ir įvairios universalios šnipinėjimo programos (3,7 proc.). Tokios kenkėjiškos programos gali neigiamai paveikti ICS ir kitų pramoninio tinklo sistemų prieinamumą ir vientisumą. Tarp aptiktų grėsmių buvo keletas ypatingo dėmesio reikalaujančių pavyzdžių.
Vienas tokių – „AgentTesla“. Tai specializuota „Trojan Spy“ kenkėjiška programa, kuri skirta pavogti autentifikavimo duomenis, ekrano kopijas ir duomenis, kurie buvo užfiksuoti per interneto kamerą ar kompiuterio klaviatūrą. Visais ištirtais atvejais užpuolikai duomenis siųsdavo naudodamiesi įvairių įmonių pašto dėžutėmis. Be įprastų kibernetinių grėsmių, „Kaspersky“ produktai taip pat aptiko ir užblokavo „Meterpreter“ programą, kuri buvo naudojama nuotoliniam energetikos sektoriaus tinklų valdymui. Išpuoliai, naudojantys tokio tipo programas, yra tiksliniai, slapti ir dažnai vykdomi rankiniu būdu. Užpuolikų sugebėjimas nuotoliniu būdu ir nepastebimai valdyti užkrėstus ICS kompiuterius kelia didžiulę grėsmę pramonės sistemoms. Be to, bendrovės saugumo sprendimai aptiko ir užblokavo „Syswin“ – naują kirminą, kuris naudoja „Python“ programavimo kalbą ir yra sukurtas taip, kad atitiktų „Windows“ failų formatą. Ši grėsmė gali turėti didelę įtaką ICS kompiuteriams, nes geba savarankiškai skleisti ir naikinti tam tikrus duomenis.
Ne tik energetikos sektorius susidūrė su kenkėjiškais objektais ar veikla. Kitos pramonės šakos, kurias analizavo „Kaspersky“ ekspertai, taip pat neturėjo laiko atsikvėpti, o automobilių gamybos pramonė (39,3 proc.) ir pastatų automatizavimas (37,8 proc.) užėmė antrą ir trečią vietas pagal ICS kompiuterių, kuriuose buvo užblokuoti kenkėjiški objektai, skaičių.
Kitos ataskaitos išvados:
- Dažniausiai ICS kompiuteriai veikia ne visiškai korporatyvinei aplinkai būdingose saugumo perimetro ribose ir yra apsaugoti nuo daugelio grėsmių, kurios taip pat svarbios namų vartotojams, naudojantiems savo priemones ir įrankius. Kitaip tariant, užduotys, susijusios su korporacinio segmento ir ICS segmento apsauga, tam tikra prasme yra nesusijusios.
- Kenkėjiškos veiklos lygis ICS segmente yra susijęs su kenkėjiškų programų veikla visoje šalyje.
- Tose šalyse, kuriose padėtis dėl ICS segmento saugumo yra palanki, žemas užpultų ICS kompiuterių lygis dažniausiai yra susijęs su saugumo priemonėms ir naudojamais įrankiais, o ne žemu kenkėjiškos veiklos lygiu.
- Kai kuriose šalyse itin suaktyvėjusi savaime plintančių kenkėjiškų programų veikla. Ištirti atvejai parodė, kad dažniausiai tai kirminai (kenkėjiški kirminų klasės objektai), skirti užkrėsti įvairias duomenų laikmenas (USB atmintines, kietuosius diskus, mobiliuosius telefonus ir kt.). Atrodo, kad kirminų platinimas per nešiojamąsias laikmenas yra populiariausias scenarijus, kuris gali pasiekti ICS kompiuterius.
„Surinkta statistika ir pramoninių kibernetinių pavojų analizė yra itin svarbus rodiklis vertinant dabartines tendencijas ir numatant, kokiam pavojui turėtume pasiruošti. Šioje ataskaitoje nustatyta, kad saugumo ekspertai turėtų sunerimti dėl kenkėjiškos programinės įrangos, kuria siekiama pavogti ar sunaikinti duomenis, įsiskverbti į perimetrą, ar šnipinėti kritiškai svarbius objektus. Šios grėsmės gali sukelti itin daug rūpesčių visai pramonės šakai“, – teigė Andis Steinmanis, Kaspersky vadovas Baltijos šalims.
„Kaspersky ICS CERT“ rekomenduoja imtis šių techninių saugumo priemonių:
- Reguliariai atnaujinkite operacines sistemas, taikomąją programinę įrangą ir saugumo sprendimus tose sistemose, kurios priklauso įmonės pramoniniam tinklui.
- Apribokite tinklo srautą kompiuterio prievaduose ir protokoluose, kurie naudojami maršrutizatoriuose ir organizacijos OT (angl. Operational Technology) tinkluose.
- Audituokite ICS komponentų prieigos kontrolę įmonės pramoniniame tinkle ir jo ribose.
- Numatykite dėsningus darbuotojų, taip pat partnerių ir tiekėjų, turinčių prieigą prie jūsų OT / ICS tinklo, mokymus.
- ICS serveriuose, darbo vietose ir visose žmogaus-mašinos sąsajose įdiekite specialų saugumo sprendimą, kad apsaugotumėte OT ir pramoninę infrastruktūrą nuo atsitiktinių kibernetinių išpuolių, užtikrintumėte tinklo srauto stebėjimą, turėtumėte analizės bei aptikimo sprendimus, ir galėtumėte geriau apsisaugoti nuo tikslinių atakų.
