Szkodliwe oprogramowanie celuje w przemysł

Przeczytaj także: Kolejna fala cyberataków wycelowanych w przemysł? Co doskwiera ICS?

Zainteresowanie, które w cyberprzestępcach wzbudza obecnie przemysł, nie jest niczym zaskakującym. Jest to efekt rosnącej integracji technologii i sieci korporacyjnych przedsiębiorstw z tej branży. Do tego, do wygrania jest wiele. Luki w zabezpieczeniach oraz oprogramowaniu powodują, że cyberprzestępcy nie tylko są w stanie wykraść informacje dotyczące procesów technologicznych, jak też wstrzymać działanie zakładu, przyczyniając się tym samym do niebagatelnych strat finansowych.

Na jak duże niebezpieczeństwo narażony jest przemysł? Odpowiedzi na to pytanie poszukiwali eksperci Kaspersky Lab. Zespół odpowiedzialny za badanie cyberzagrożeń dla środowisk przemysłowych (ICS CERT) przyjrzał się atakom, na które narażone są systemy sterowania w przemyśle (ICS).

Przeprowadzona analiza dowiodła, że w II półroczu minionego roku udało się zablokować szkodliwe oprogramowanie oraz phishing na przeszło 22% komputerów używanych przez przemysł. Oznacza to, że co piątej maszynie zagrażała infekcja lub przechwycenie uwierzytelniających danych.

Ze względu na ograniczenia sieci technologicznej, w której zlokalizowane są stacje robocze inżynierów i operatorów pracujących bezpośrednio z przemysłowymi systemami sterowania, maszyny te zwykle nie posiadają bezpośredniego dostępu do internetu. Istnieją jednak inni użytkownicy, którzy mają jednoczesny dostęp do internetu i systemów przemysłowych. Według badania Kaspersky Lab takie komputery — wykorzystywane prawdopodobnie przez administratorów systemów i sieci, programistów, integratorów systemów automatyzacji przemysłowej, jak również wykonawców zewnętrznych, którzy bezpośrednio lub zdalnie łączą się z sieciami technologicznymi — mogą swobodnie łączyć się z internetem, ponieważ nie są związane z jedną siecią przemysłową posiadającą konkretne ograniczenia.

Internet nie jest jedynym zagrożeniem dla cyberbezpieczeństwa systemów przemysłowych. Jak dostrzegli badacze z Kaspersky Lab, ryzyko stwarzają również zainfekowane wymienne urządzenia pamięci masowej. W okresie, w którym prowadzono badanie, szkodliwe oprogramowanie próbowało zaatakować 10,9% komputerów stosowanych do pracy z przemysłowymi systemami sterowania (lub podłączonych do maszyn wykorzystywanych do tego celu) tuż po tym jak podłączono do nich urządzenie wymienne.

Szkodliwe załączniki do wiadomości e-mail oraz osadzone w ich treści skrypty zostały zablokowane na 8,1% komputerów przemysłowych. W większości przypadków atakujący wykorzystują wiadomości phishingowe w celu przyciągnięcia uwagi użytkownika i zamaskowania szkodliwych plików. Szkodliwe oprogramowanie było najczęściej dystrybuowane w postaci dokumentów biurowych, takich jak pliki pakietu MS Office czy dokumenty PDF. Przy pomocy różnych technik przestępcy zadbali o to, aby użytkownicy pobrali i uruchomili szkodliwe oprogramowanie na komputerach organizacji przemysłowej.

Z badania Kaspersky Lab wynika, że szkodliwe oprogramowanie, które stanowi poważne zagrożenie dla firm na całym świecie, jest również niebezpieczne dla przedsiębiorstw przemysłowych. Obejmuje ono oprogramowanie szpiegujące, trojany oferujące zdalny dostęp, narzędzia przechwytujące znaki wprowadzane z klawiatury, finansowe szkodliwe oprogramowanie, ransomware oraz programy bezpowrotnie niszczące dane ofiary. Mogą one całkowicie sparaliżować kontrolę organizacji nad jej systemem przemysłowym lub zostać wykorzystane w atakach ukierunkowanych.

Z naszej analizy wynika, że ślepa wiara w odizolowanie sieci technologicznych od internetu nie działa w każdym przypadku. Wzrost liczby cyberzagrożeń dla infrastruktury krytycznej sugeruje, że przemysłowe systemy sterowania powinny zostać odpowiednio zabezpieczone przed szkodliwym oprogramowaniem zarówno wewnątrz, jak i na zewnątrz sieci. Ponadto z naszych obserwacji wynika, że niezależnie od wyrafinowania systemu zabezpieczeń ataki niemal zawsze rozpoczynają się od najsłabszego ogniwa – od człowieka — powiedział Jewgienij Gonczarow, szef działu obrony infrastruktury krytycznej, Kaspersky Lab.

Raport Kaspersky Lab ujawnił także następujące informacje:

• Co czwarty zaawansowany atak ukierunkowany wykryty przez Kaspersky Lab w 2016 r. był wymierzony w cele przemysłowe.
• Zidentyfikowano około 20 000 różnych próbek szkodliwego oprogramowania w systemach automatyzacji przemysłowej należących do ponad 2 000 różnych rodzin szkodliwego oprogramowania.
• W 2016 r. Kaspersky Lab wykrył 75 luk w zabezpieczeniach sprzętu i oprogramowania wykorzystywanego w przemyśle. 58 z nich zostało oznaczonych jako krytyczne.
• Trzy państwa o największej liczbie zaatakowanych komputerów przemysłowych to Wietnam (ponad 66%), Algieria (ponad 65%) i Maroko (60%)

Co zrobić, aby chronić przemysł przed potencjalnymi cyberatakami? Eksperci ds. bezpieczeństwa z Kaspersky Lab zalecają następujące działania:

• Przeprowadzenie oceny bezpieczeństwa w celu zidentyfikowania i usunięcia luk w zabezpieczeniach.
• Skorzystanie z zewnętrznej analizy zagrożeń — dane analityczne dostarczone przez renomowanych dostawców pomagają organizacjom przewidzieć przyszłe ataki na infrastrukturę przemysłową firmy.
• Szkolenie całego personelu w zakresie cyberzagrożeń.
• Zapewnienie ochrony wewnątrz i poza siecią. Odpowiednia strategia bezpieczeństwa zakłada przeznaczenie zasobów na wykrywanie ataków i reagowanie na nie, tak aby działania przestępców mogły zostać zablokowane, zanim wyrządzą szkody w obiektach o znaczeniu krytycznym
• Zastosowanie zaawansowanych metod ochrony takich jak scenariusz odmowy domyślnej dla systemów SCADA, regularne sprawdzanie integralności sterowników oraz wyspecjalizowane monitorowanie sieci w celu zwiększenia ogólnego bezpieczeństwa firmy. Rozwiązania te zmniejszą prawdopodobieństwo przeprowadzenia skutecznego włamania, nawet jeśli nie można załatać ani usunąć niektórych podatnych na ataki węzłów.