Журнал "Information Security/ Информационная безопасность" #2, 2018

Был проанализирован про- граммно-аппаратный ком- плекс SafeNet Sentinel про- изводства компании Gemalto. По итогам проведенных исследований в программной части данного решения было обнаружено 15 уязвимостей (11 в декабре 2016 г. и 4 в 2017 г.). Данные бреши затрагивают множество про- дуктов, в составе которых используется это уязвимое ПО. Среди них решения ком- паний ABB, General Electric, HP, Cadac Group, Zemax и других производителей ПО, количество которых, по неко- торым оценкам, может дости- гать 40 тыс. Случайные заражения В подавляющем большинстве случаев попытки заражения ком- пьютеров АСУ носят случайный характер, а не происходят в ходе целевой атаки. Соответственно, функции, заложенные во вре- доносное ПО, не являются спе- цифичными для атак на системы промышленной автоматизации. Однако, даже не имея специ- альной функциональности, вре- доносное ПО способно вызвать последствия, плачевные для систем промышленной автома- тизации, в том числе привести к аварийной остановке техноло- гического процесса. Это под- твердила эпидемия WannaCry в мае 2017 г., когда в результате заражений шифровальщиком несколько промышленных ком- паний, работающих в различных отраслях, были вынуждены вре- менно приостановить производ- ство. Неожиданные последствия эпидемии WannaCry Важно отметить, что некото- рые ИT-угрозы могут нанести гораздо более серьезный вред в технологической сети, чем в офисной. Продемонстрируем это на примере двух инцидентов, расследованных командой Kas- persky Lab ICS-CERT. Во втором полугодии 2017 г. к нам обратились представители сразу нескольких промышленных предприятий, где были выявлены массовые заражения технологи- ческой сети шифровальщиком WannaCry. Как выяснилось позже, первичные заражения компьютеров офисных сетей пострадавших компаний во всех случаях произошли еще в первом полугодии 2017 г., в разгар эпи- демии WannaCry. Однако зара- жение не было замечено до тех пор, пока не распространилось на технологическую сеть. Как выяснилось в ходе расследова- ния, функциональность шифро- вания в образцах вредоносного ПО была повреждена и заражен- ные системы в корпоративных сетях предприятий продолжали функционировать в нормальном режиме – без каких-либо сбоев. Заражение же технологической сети привело в описываемых слу- чаях к неожиданным негативным последствиям. На одном из зараженных Wan- naCry предприятий на компью- терах операторов стали посто- янно возникать "синие экраны смерти" и происходить аварий- ные перезагрузки. Причина столь неожиданных последствий зара- жения крылась в том, что эти машины работали под управле- нием Windows XP. Как известно, эксплойт DoublePulsar, исполь- зуемый WannaCry для распро- странения, некорректно работает в данной версии операционной системы, что и приводит к воз- никновению "синего экрана смер- ти" и перезагрузке компьютера. В случае когда множество машин в технологическом сегменте сети организации оказываются зара- жены, машины под управлением Windows XP часто подвергаются атакам и аварийно перезагру- жаются. В результате операторы не могут осуществлять монито- ринг и управление технологиче- ским процессом. Таким образом, WannaCry становится своего рода инструментом атаки типа "отказ в обслуживании". В другом инциденте распро- странение WannaCry приводило к временной недоступности части устройств в промышлен- ном сегменте сети предприятия в периоды, когда сетевая актив- ность вредоносной программы совпадала c определенными эта- пами технологического процес- са. В результате возникали ава- рийные остановки критически важного для предприятия тех- нологического процесса, в сред- нем на 15 мин. Майнеры криптовалют в инфраструктуре технологической сети По данным Kaspersky Lab ICS CERT, в период с февраля 2017 г. по январь 2018 г. про- граммами для майнинга крип- товалют были атакованы 3,3% компьютеров, относящихся к системам промышленной авто- матизации (рис. 4). До августа 2017 г. доля ком- пьютеров АСУ, атакованных майнерами, не превышала 1%. Этот показатель вырос в сен- тябре и не опускался ниже 1% до конца 2017 г. Самым актив- ным месяцем по атакам майне- ров на компьютеры АСУ стал октябрь с показателем 2,07%. Как и другое вредоносное ПО, попавшее на системы промыш- ленных предприятий, майнеры могут стать угрозой для монито- ринга и управления технологи- ческим процессом. Во время работы вредоносные программы данного типа создают значи- тельную нагрузку на вычисли- тельные ресурсы компьютера. Увеличение нагрузки на процес- соры может негативно влиять на работу компонентов АСУ ТП предприятия и угрожать стабиль- ности их функционирования. По нашим оценкам, в основном майнеры попадают на компью- теры АСУ в результате случай- ных заражений (рис. 5). Досто- верной информации о целевом заражении машин в инфраструк- туре технологической сети для майнинга криптовалют нет – исключая те случаи, когда уста- новка майнеров производится недобросовестными сотрудника- ми предприятий. Чаще всего вре- доносное ПО для майнинга крип- товалют попадает в инфраструк- туру технологической сети из Интернета, реже – со съемных носителей или из сетевых папок. Заражению майнерами крип- товалют подверглось множество Web-сайтов, в том числе про- мышленных компаний. В таких случаях майнинг криптовалют производится на системах посе- тителей зараженных Web-ресур- сов, данная техника получила название Cryptojacking. Ботнет-агенты в инфраструктуре технологической сети В большинстве случаев бот- нет-агенты выполняют такие 40 • ИССЛЕДОВАНИЕ Рис. 5. Источники заражения компьютеров АСУ майнерами, процент атакованных систем, фев- раль 2017 – январь 2018 Рис. 6. Доля компьютеров АСУ, атакованных ботнет-агентами в 2017 г.