Enerģētikas nozares lielākie draudi – tārpi, spiegprogrammatūras un kriptonaudas racēji 1
2019. gada pirmajos sešos mēnešos “Kaspersky” risinājumu reakcija tika izraisīta gandrīz pusē ražošanas vadības sistēmu (ICS) datoru enerģētikas nozarē visā pasaulē.
Trīs galvenie kiberdraudi bija tārpi, spiegprogrammatūras un kriptonaudas racēji — kopā tie veidoja gandrīz 14 % īpatsvaru uzbrukumiem pakļautajos datoros.
Tie ir vieni no galvenajiem secinājumiem “Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas pārskatā par rūpniecisko apdraudējumu vidi 2019. gada pirmajā pusgadā.
Bīstamībs faktors
Rūpnieciskie kiberincidenti ir vieni no bīstamākajiem, jo tie var izraisīt ražošanas dīkstāvi un jūtamus finansiālos zaudējumus, turklāt ir diezgan grūti pārvarēt to sekas. It sevišķi tas attiecas uz incidentiem, kas notiek izšķirīgās, dzīvību nodrošinošās nozarēs, piemēram, enerģētikā.
2019. gada 1. pusgada statistika, ko automātiski apstrādā Kaspersky drošības tehnoloģijas, liecina, ka enerģētikas risinājumu pārvaldnieki nedrīkst zaudēt modrību. Kopumā pārskata periodā “Kaspersky”rīki ir reaģējuši 41,6 % ražošanas vadības sistēmu datoru enerģētikas nozarē. Tika bloķēts liels skaits parastu ļaunprogrammatūru paraugu, kas nav izstrādāti speciāli ražošanas vadības sistēmām.
Bloķēto ļaunprogrammatūru vidū visbīstamākās bija kriptonaudas izracēji (2,9 %), tārpi (7,1 %) un dažādas daudzpusīgas spiegprogrammatūras (3,7 %). Inficēšanās ar šādām ļaunprogrammatūrām var negatīvi ietekmēt ražošanas vadības un citu rūpniecisko tīklu sistēmu pieejamību un integritāti.
Neiztika arī bez trojas zirga un īpaši bīstamas lūkas
Pamanīto apdraudējumu vidū daži ir īpaši interesanti. Pie tādiem var pieskaitīt specializēto spiegošanas Trojas zirgu AgentTesla, kas ir paredzēts autentifikācijas datu, ekrānuzņēmumu un no tīmekļa kameras un tastatūras iegūto datu zagšanai. Visos izanalizētajos gadījumos uzbrucēji nosūtīja datus, izmantojot dažādos uzņēmumos uzlauztas e-pastkastes.
Līdztekus ļaunprogrammatūrām “Kaspersky” izstrādājumi konstatēja un bloķēja arī lūku Meterpreter, kas tiek izmantota, lai attāli vadītu datorus energosistēmu rūpnieciskajos tīklos. Uzbrukumi, kuros tiek izmantota šī lūka, ir mērķtiecīgi un slepeni un bieži vien tiek veikti manuāli. Uzbrucēju spēja slepeni un attāli vadīt inficētos ražošanas vadības sistēmas datorus nopietni apdraud rūpnieciskās sistēmas.
Īpaši bīstamais tārps
Pēdējais, bet ne mazāk svarīgais — uzņēmuma risinājumi pamanīja un bloķēja Syswin. Tas ir jauns dzēšanas tārps, kas sarakstīts programmēšanas valodā Python un ietverts Windows izpildāmā formātā. Šim apdraudējumam var būt liela ietekme uz ražošanas vadības sistēmas datoriem, jo tas spēj pašizplatīties un iznīcināt datus.
Ne tikai enerģētikas nozare ir saskārusies ar ļaunprātīgiem objektiem un darbībām. Arī citām “Kaspersky” ekspertu izanalizētajām nozarēm nav iemesla atslābināties, it sevišķi autobūves (39,3 %) un ēku automatizācijas (37,8 %) nozarei, kas ieņem otro un trešo vietu pēc ražošanas vadības sistēmu datoru, kuros bloķēti ļaunprātīgi objekti, skaita īpatsvara.
Dažās valstīs ļoti aktīvas ir pašizplatošās ļaunprogrammatūras. Izanalizētajos gadījumos tie bija tārpi (datortārpu klases ļaunprātīgi objekti), kas ir paredzēti noņemamu datu nesēju (USB zibatmiņu, noņemamu cieto disku, mobilo tālruņu utt.) inficēšanai. Šķiet, ka inficēšanās ar tārpiem no noņemama datu nesēja ir visparastākais gadījums, kas var notikt ar ražošanas vadības sistēmas datoriem.
“Kaspersky” pārskatā ir konstatēts, ka drošības ekspertiem ir īpaši jāuzmanās no ļaunprogrammatūrām, kuru nolūks ir zagt datus, izspiegot izšķirīgi svarīgus objektus, iekļūt sistēmā un iznīcināt datus.
Visu šo veidu incidenti var sagādāt nozarei daudz nepatikšanu, uzskata “Kaspersky” vadītājs Baltijā Andis Šteinmanis.
„Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komanda iesaka īstenot šādus tehniskos pasākumus.
Regulāri atjaunināt operētājsistēmas, lietotnes un drošības risinājumus sistēmās, kas ietilpst uzņēmuma rūpnieciskajā tīklā.
Ierobežot tīkla datplūsmu portos un protokolos, kas tiek izmantoti robežmaršrutētājos un organizācijas operāciju tehnoloģijas tīklos.
Veikt ražošanas vadības sistēmas komponentu piekļuves kontroles auditu uzņēmuma rūpnieciskajā tīklā un uz tā robežām.
Nodrošināt regulāras specializētas mācības un atbalstu darbiniekiem, kā arī sadarbības partneriem un piegādātājiem, kas var piekļūt operāciju tehnoloģijas / ražošanas vadības sistēmas tīklam.
Ražošanas vadības sistēmas serveros, darbstacijās un cilvēka–mašīnas saskarnēs izvērst specializētu galiekārtu aizsardzības risinājumu, piemēram, „Kaspersky Industrial CyberSecurity”, lai operāciju tehnoloģiju un rūpniecisko infrastruktūru nodrošinātu pret nejaušiem kiberuzbrukumiem, kā arī izvērst tīkla datplūsmas uzraudzības, analīzes un noteikšanas risinājumus, lai labāk aizsargātos pret mērķuzbrukumiem.
