Журнал "Information Security/ Информационная безопасность" #2, 2018

Широко известно о при- менении в последние годы вектора атак на промышлен- ную инфраструктуру через поставщиков в нескольких атаках, имевших катастро- фические последствия. Именно поэтому высокий процент атакованных ком- пьютеров АСУ ТП в компа- ниях категории "Инжиниринг и интеграторы АСУ" – про- блема достаточно серьезная. популярность новый представи- тель этого класса вредоносного ПО – Formbook. В атаках с использованием Formbook в фишинговых пись- мах рассылаются вложенные вредоносные документы Micro- soft Office, которые для загрузки и установки в систему вредо- носного ПО эксплуатируют уязвимость CVE-2017-8759 или используют макросы. Распро- страняются также архивы раз- личных форматов, содержащие исполняемый файл вредоносной программы. По своей реализации и используемым техникам по сокрытию кода и шифрованию полезной нагрузки Formbook отличается от "собратьев" боль- шей функциональностью. Поми- мо стандартных для шпионского вредоносного ПО функций, таких как снятие скриншотов, запись кодов нажатых клавиш и кража паролей из хранилищ браузеров, Formbook обладает возможностью кражи конфиден- циальных данных из трафика HTTP/HTTPS/SPDY/HTTP2 и Web-форм. Кроме того, данная вредоносная программа реали- зует и функциональность скры- того удаленного управления системой, а также имеет необыч- ную технику противодействия анализу сетевого трафика. Троя- нец формирует набор URL-адре- сов для подключения к серверу злоумышленников из списков легитимных доменов, хранящих- ся в его теле, и добавляет в него только один сервер управ- ления вредоносным ПО. Таким образом вредоносная програм- ма пытается скрыть подключе- ние к вредоносному домену среди запросов к легитимным ресурсам, что усложняет ее обнаружение и анализ. Процент атакованных компьютеров АСУ в различных индустриях Статистические данные об атаках на объекты в различных индустриях (рис. 9) свидетель- ствуют о том, что почти во всех отраслях наблюдаются близкие показатели процента атакован- ных компьютеров АСУ, попадающие в интервал от 26 до 30%. По нашему предположе- нию это объясняется схожестью архитектурных решений систем АСУ ТП, используемых для авто- матизации технологических про- цессов на предприятиях в раз- личных индустриях и, возможно, схожестью процессов обмена информацией предприятий с внешними контрагентами и внут- ри предприятий. Две индустрии в течение отчет- ного периода атаковали больше, чем остальные: показатели кате- горий "Энергетика" (38,7%), "Инжиниринг и интеграторы АСУ" (35,3%) превышают 35%. Мы полагаем, что высокий про- цент атакованных систем АСУ в энергетике объясняется, с одной стороны, большей сетевой связ- ностью объектов электроэнерге- тики (по сравнению с объектами других отраслей), с другой сто- роны, возможно, тем обстоятель- ством, что к АСУ энергетических объектов в среднем имеет доступ больше людей, чем на предприя- тиях других отраслей. Единственная индустрия, показатели которой значительно выросли за полугодие (+ 5,2 п.п.), – "Строительство" (31,1%). Причина высокого процента ата- кованных систем АСУ в строи- тельных организациях предпо- ложительно кроется в том, что на предприятиях отрасли систе- мы АСУ часто являются вспо- могательными, внедряются отно- сительно недавно и, возможно, находятся на периферии вни- мания владельцев и руководства компаний. Как следствие, задачи обеспечения их защиты от кибе- ругроз могут оказаться менее приоритетными. Чем бы ни объ- яснялся высокий процент атак, добравшихся до промышленных АСУ в строительстве и инжини- ринге, этот факт кажется весьма тревожным. Известно, что строи- тельство – высококонкурентный бизнес, и кибератаки на про- мышленные организации могут использоваться как средство нечестной конкуренции. До сих пор в строительной индустрии кибератаки на конкурентов использовались в основном с целью кражи информации, пред- ставляющей коммерческую тайну. Заражение систем АСУ может дать в руки злоумышлен- ников новое оружие в конку- рентной борьбе. Заражение разработчиков промышленного ПО может пред- ставлять большую опасность, поскольку последствия атаки, распространившиеся на парт- нерскую экосистему и клиент- скую базу зараженного разра- ботчика, могут быть чрезвычай- но серьезными, как мы видели в недавних широкомасштабных инцидентах, таких как эпидемия вредоносной программы exPetr. Мы включили в отчет данные по компьютерам АСУ учебных заведений. Когда речь идет о таких компьютерах, имеются в виду не только системы АСУ, использующиеся в демонстра- ционных стендах и учебных и исследовательских лаборато- риях, но и системы промышлен- ной автоматизации различных объектов инфраструктуры учеб- ных заведений – систем энерго- обеспечения (собственная гене- рация и распределение элек- троэнергии), коммунального 42 • ИССЛЕДОВАНИЕ Рис. 9. Процент атакованных компьютеров АСУ в различных индустриях * , первое и второе полуго- дия 2017 г. * В данном отчете, в отличие от предыдущих, для каждой из индустрий мы посчитали процент атакованных компьютеров АСУ (процент атакованных в индустрии компьютеров АСУ по отношению ко всем компьютерам АСУ в этой индустрии). В предыдущих отчетах мы приводили распределение атакованных компьютеров АСУ по индустриям (процент атакованных в индустрии компьютеров по отношению ко всем атакованным компьютерам АСУ из нашей выборки). Рис. 10. Основные источники угроз, заблокирован- ных на компьютерах АСУ, процент атакованных компьютеров АСУ, первое и второе полугодия 2017 г.