Energetyka w ogniu cyberataków

Przeczytaj także: Komputery przemysłowe ciągle na celowniku

Incydenty wycelowane w przemysł nie bez kozery uznawane są za najgroźniejsze - w ich efekcie może dojść bowiem do przestojów produkcji, co zazwyczaj wiąże się z gigantycznymi kosztami. Dodatkowo, możliwości w zakresie ich skutecznego zwalczania bywają ograniczone. Szczególnie trudne są incydenty występujące w sektorach mających znaczenie krytyczne, jak np. energetyczny. Statystyki, w sposób automatyczny przetworzone przez rozwiązania bezpieczeństwa firmy Kaspersky, dowodzą, że w energetyce raczej się wiało nudą - zagrożenia wykryto aż na 41,6% należących do tej branży komputerów ICS. Zablokowano również niemałą ilość próbek konwencjonalnego złośliwego oprogramowania, nieprzeznaczonego dla systemów przemysłowych.

Spośród szkodliwych programów, których ataki udało się udaremnić, największe zagrożenie stanowiły koparki kryptowaluty (2,9%), robaki (7,1%) oraz cały wachlarz wszechstronnego oprogramowania szpiegowskiego (3,7%). Infekcja takim szkodliwym oprogramowaniem może mieć negatywny wpływ na dostępność oraz integralność przemysłowych systemów sterowania oraz innych zasobów tworzących sieć przemysłową. Spośród wykrytych zagrożeń tego typu niektóre są szczególnie interesujące.

Jednym z nich jest AgentTesla, wyspecjalizowany trojan szpiegujący, stworzony w celu kradzieży danych uwierzytelniających, zrzutów ekranu oraz informacji przechwyconych z kamer internetowych oraz klawiatury. We wszystkich analizowanych przypadkach atakujący wysyłali dane za pośrednictwem zhakowanych skrzynek pocztowych w różnych firmach.

Oprócz szkodliwego oprogramowania produkty firmy Kaspersky zidentyfikowały i zablokowały cyberataki z udziałem backdoora Meterpreter wykorzystywanego w celu zdalnego kontrolowania komputerów w sieciach przemysłowych systemów energetycznych. Ta „tylna furtka” jest wykorzystywana do przeprowadzania zamaskowanych cyberataków na konkretne cele, nierzadko przy ręcznym nadzorze cyberprzestępców. Możliwość zdalnego i potajemnego kontrolowania zainfekowanych komputerów przemysłowych stanowi ogromne zagrożenie dla systemów tego rodzaju.

Na koniec warto wspomnieć, że rozwiązania firmy Kaspersky wykryły i zablokowały nowego robaka niszczącego dane (tzw. wiper) o nazwie Syswin, który został napisany w języku Python i spakowany do formatu wykonywalnego systemu Windows. Zagrożenie to może mieć znaczący wpływ na komputery, a nawet całe sieci przemysłowe, ze względu na możliwość automatycznego rozprzestrzeniania się oraz niszczenia danych.

Energetyka nie była jedynym celem szkodliwych programów oraz działań cyberprzestępców. Inne branże zbadane przez ekspertów z firmy Kaspersky również nie miały powodu, aby odetchnąć z ulgą. Pod względem odsetka komputerów przemysłowych, na których zablokowano szkodliwe obiekty, na drugim i trzecim miejscu znalazł się odpowiednio przemysł motoryzacyjny (39,3%) oraz automatyka budynków (37,8%).

Zgromadzone dane statystyczne, jak również analiza cyberzagrożeń przemysłowych to niezwykle przydatne narzędzia w ocenie obecnych trendów oraz przewidywaniu zagrożeń, na które należy się przygotować. Jak podkreślono w raporcie, eksperci ds. bezpieczeństwa powinni być szczególnie ostrożni w przypadku szkodliwego oprogramowania, którego celem jest kradzież danych, szpiegowanie obiektów o znaczeniu krytycznym, przenikanie do sieci oraz niszczenie danych. Wszystkie te rodzaje incydentów mogłyby spowodować mnóstwo problemów w branży – powiedział Kiryl Krugłow, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Porady bezpieczeństwa dla organizacji przemysłowych

Zespół Kaspersky ICS CERT zaleca stosowanie następujących środków technicznych w celu poprawy bezpieczeństwa informatycznych środowisk przemysłowych:

• Regularnie aktualizuj systemy operacyjne, oprogramowanie oraz rozwiązania zabezpieczające w systemach tworzących sieć przemysłową przedsiębiorstwa.
• Ogranicz ruch sieciowy na portach i protokołach wykorzystywanych na routerach brzegowych oraz w obrębie sieci OT organizacji.
• Kontroluj dostęp do komponentów ICS w sieci przemysłowej przedsiębiorstwa oraz na jej granicach.
• Organizuj regularne specjalistyczne szkolenia oraz wsparcie dla pracowników, jak również partnerów i dostawców mających dostęp do Twojej sieci OT/ICS.
• Wdróż wyspecjalizowane rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Industrial CyberSecurity, na serwerach ICS, stacjach roboczych oraz interfejsach HMI w celu zabezpieczenia infrastruktury OT oraz przemysłowej przed przypadkowymi cyberatakami oraz stosuj rozwiązania do monitorowania ruchu sieciowego, analizowania i wykrywania zagrożeń w celu zapewnienia lepszej ochrony przed atakami ukierunkowanymi.