Журнал "Information Security/ Информационная безопасность" #2, 2018

Уязвимости в промышленных маршрутизаторах За 2017 г. было выявлено 18 уязвимостей в промыш- ленном сетевом оборудова- нии разных производителей. Типичные уязвимости: рас- крытие информации, эскала- ция привилегий, выполнение произвольного кода, отказ в обслуживании. Количество обнаруженных уязвимостей В 2017 г. общее число опубликованных на сайте ICS-CERT уязвимостей, выявленных в различных компонентах АСУ ТП, соста- вило 322 (рис. 1). В это число входят уязвимости в ПО общего назначения и в сетевых протоколах, которые также актуальны для промышленного ПО и оборудования. Они рас- сматриваются в обзоре отдельно. функции, как поиск и кража финансовой информации, кража данных аутентификации, пере- бор паролей, рассылка спама, а также атаки на заданные уда- ленные интернет-ресурсы, в частности атаки, направленные на отказ в обслуживании (DDoS). Кроме того, в случае если бот- нет-агент производит атаку на сторонние ресурсы (такие слу- чаи также фиксировались), у компании – владельца IP-адре- сов могут возникнуть опреде- ленные репутационные риски. Несмотря на то что деструк- тивная активность ботнет-аген- тов не направлена на нарушение работы какой-либо промышлен- ной системы, заражение данным типом вредоносного ПО может быть очень опасно для объекта промышленной инфраструктуры. Действия вредоносных про- грамм данного типа могут при- водить к нарушению работы сети, отказу в обслуживании (DoS) зараженной системы и других устройств в сети. Кроме этого, зачастую код вредоносных программ содержит ошибки и/или несовместим с ПО для управления промышленной инфраструктурой, что также может приводить к нарушениям в мониторинге и управлении тех- нологическим процессом. Другая опасность ботнет-аген- тов заключается в том, что вре- доносные программы данного типа часто имеют функциональ- ность сбора информации о систе- ме и предоставляют злоумыш- ленникам возможность скрытого управления зараженной маши- ной – как вредоносные програм- мы класса Backdoor. Тех данных, которые боты собирают о систе- ме по умолчанию, достаточно для точного определения компа- нии-владельца и типа системы. Кроме того, доступ к инфициро- ванным ботнет-агентами маши- нам зачастую выставляется на продажу на специализированных биржах в Даркнете. Таким обра- зом, злоумышленники, имеющие интерес к зараженным системам АСУ, могут получить доступ к конфиденциальным данным ком- пании-жертвы и/или к системам управления промышленной инфраструктурой. В 2017 г. 10,8% всех систем АСУ подверглись атакам бот- нет-агентов (рис. 6). Более того, статистика по атакам ботнет- агентами показывает, что 2% систем АСУ были атакованы сразу несколькими вредоносным программами данного типа. Основными источниками атак ботнет-агентов для систем АСУ в 2017 г. стали Интернет, смен- ные носители и сообщения элек- тронной почты (рис. 7). Это в очередной раз говорит о важности разграничения досту- па для безопасного обмена информацией между техноло- гической сетью предприятия и другими сетями, а также о необходимости установки средств выявления и фильтра- ции вредоносных объектов в сообщениях электронной почты и запрета подключения неавторизованных сменных носителей к системам АСУ. Наиболее распространенные ботнет-агенты показаны на рис. 8. Целевые атаки В 2017 г. была опубликована информация о двух целевых ата- ках на системы промышленной инфраструктуры – Industroyer и Trisis/Triton. В этих атаках впер- вые после Stuxnet атакующие создали собственные реализа- ции промышленных сетевых протоколов и получили возмож- ность напрямую взаимодейство- вать с устройствами. Trisis/Triton В декабре 2017 г. исследова- тели сообщили, что в результате расследования инцидента на неназванном промышленном предприятии было найдено ранее неизвестное вредоносное ПО, направленное на системы критической инфраструктуры. Данное вредоносное ПО полу- чило название Triton, или Trisis. Вредоносная программа пред- ставляет собой модульный фреймворк, позволяющий в авто- матическом режиме производить поиск контроллеров Triconex Safe- ty Controllers в сети предприятия, получать информацию о режиме их работы и внедрять на данные устройства вредоносный код. Trisis/Triton устанавливает в прошивку устройства бэкдор, позволяющий злоумышленни- кам удаленно считывать и моди- фицировать не только код леги- тимной программы управления, но и код прошивки скомпроме- тированного устройства Triconex. Имея такие возможности, зло- умышленники могут нанести серьезный вред технологическо- му процессу предприятия. Самое безобидное из возможных нега- тивных последствий – аварийное отключение системы и останов- ка технологического процесса. Именно такое событие и побу- дило пострадавшую организа- цию к расследованию, которое и привело к обнаружению атаки. До сих пор остается неизвест- ным, как злоумышленники про- никли в инфраструктуру пред- приятия. Известно только, что они, по всей видимости, доста- точно долго (несколько месяцев) пребывали в сети скомпромети- рованной организации и исполь- зовали легитимное ПО и утили- ты "двойного назначения" для продвижения внутри сети и эска- лации привилегий. Несмотря на то что атака была направлена на изменение кода устройств Triconex, тот код, кото- рый злоумышленники, по всей видимости, пытались внедрить на последней стадии атаки, так и не был найден, поэтому уста- новить конечную цель атаки на данный момент невозможно. Целевой фишинг – шпион Formbook Среди известных троянцев- шпионов, рассылаемых в фишин- говых письмах индустриальным и энергетическим компаниям по всему миру (FareIT, HawkEye, ISRStealer и другие), во втором полугодии 2017 г. набрал • 41 ИССЛЕДОВАНИЕ www.itsec.ru Рис. 7. Источники заражения систем АСУ ботнет- агентами, процент атакованных компьютеров АСУ, 2017 г. Рис. 8. Топ-5 ботнет-агентов, наиболее часто встречающихся на системах АСУ в 2017 г., процент атакованных компьютеров АСУ