Основные угрозы полугодия по версии Kaspersky Lab ICS-CERT - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Основные угрозы полугодия по версии Kaspersky Lab ICS-CERT

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS-CERT) опубликовал отчет об основных событиях в сфере кибербезопасности за первое полугодие 2017 года.

На первое место по степени опасности для промышленных систем управления специалисты центра поставили «новое кибероружие» — вредоносное ПО CrashOverride/Industroyer. Оно позволяет злоумышленникам управлять выключателями и прерывателями цепи в сети, а также отключать некоторые защитные устройства. Результаты атак варьируются от отключения электричества до повреждения важного оборудования из-за несрабатывания автоматики при перегрузке в сети. Эксперты ESET по ряду косвенных признаков предполагают, что именно это ПО могло быть причиной сбоя с энергоснабжением Киева в декабре 2016 года, хотя достоверных доказательств этому нет.

Первое полугодие 2017 года привлекло всеобщее внимание к программам-шифровальщикам из-за эпидемии WannaCry и атаки NotPetya/ExPetr. Специалисты отмечают, что среди представителей 33 семейств шифровальщиков, атаковавших компьютеры АСУ за первые шесть месяцев 2017 года, не было ни одной программы, созданной специально для блокирования работы промышленных предприятий. Тем не менее они способны нарушить работу, попав на объекты критической инфраструктуры. Всего решения «Лаборатории Касперского» блокировали атаки шифровальщиков на компьютерах АСУ в 63 странах.

От эпидемии WannaCry — самой масштабной из атак шифровальщиков на момент публикации — пострадали компьютеры в 150 странах мира. Среди атакованных компаний больше всего учреждений здравоохранения и правительственных структур, однако известно о нескольких случаях заражения, которые привели к остановке промышленных предприятий (как, например, это случилось с несколькими заводами Renault). От второго по резонансу (хотя лишь 6-го по распространенности) шифровальщика ExPetr, атака которого началась 27 июня с России и Украины, а потом быстро распространилась по всей Европе, больше всего пострадали компании, занятые в производстве и нефтегазовой промышленности.

Специалисты центра склоняются к мнению, что атакующие были скорее не вымогателями, а диверсантами. ExPetr относится к вредоносному ПО, уничтожающему информацию, и запрос выкупа за расшифровку мог быть всего лишь прикрытием актов саботажа. А в случае с WannaCry атакующие не получили тех огромных сумм, которые могли бы получить, и не предприняли никаких действий, чтобы исправить ситуацию в свою пользу. Вероятнее всего, деньги не были главной целью атаки.

По мнению специалистов, атака WannaCry оказалась столь масштабной во многом потому, что злоумышленники использовали эксплойты Агентства национальной безопасности США, выложенные в открытый доступ группой Shadow Brokers в апреле 2017 года. Это была не единственная опасная публикация полугодия: в марте на WikiLeaks появилась часть архива спецподразделения ЦРУ США, в которой описывались хакерские инструменты ЦРУ. В раскрытых документах перечислено множество уязвимостей, в том числе позволяющих получить полный контроль над коммутаторами и роутерами более чем 300 разных моделей компании Cisco Systems. Впрочем, значительная часть информации оказалась неактуальной: производители ПО и оборудования закрыли многие из упомянутых уязвимостей еще до публикации.

Нацеленными преимущественно на промышленные и крупные транспортные компании оказались адресные атаки «нигерийских» злоумышленников типа Business Email Compromise. С помощью вредоносного ПО, предназначенного для кражи конфиденциальных данных, они отслеживают, какие сделки купли-продажи готовятся в компании, а потом перехватывают сообщение от продавца и посылают покупателю то же сообщение, заменив расчетный счет на свой собственный.

По данным исследования, технологическая сеть все больше становится похожей на корпоративную, и атакуют компьютеры АСУ те же категории программ, что и корпоративные компьютеры: троянцы-шпионы, программы-вымогатели, бэкдоры и программы, стирающие данные на диске. Основным источником заражения является Интернет, уступают ему съемные носители и почтовые клиенты, а значительно отстают — архивы, сетевые папки и облачные хранилища.

Чтобы защитить промышленные инфраструктуры, исследователи рекомендуют разграничить системы с разным уровнем доступа и максимально изолировать технологическую сеть, поддерживать актуальность средств защиты и в целом внимательно относиться к вопросам безопасности.

Центр Kaspersky Lab ICS-CERT был создан в октябре 2016 года специально для того, чтобы собирать данные об уязвимостях, атаках и возможных угрозах для технологических компаний по всему миру и на их основе давать рекомендации по защите устройств, использующихся на производстве и в критически важных инфраструктурах. Отчет сформирован на основе данных распределенной сети Kaspersky Security Network (KSN), собранных с компьютеров, владельцы которых дали на это согласие.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus