Журнал "Information Security/ Информационная безопасность" #2, 2018

Три индустрии с наи- меньшими показателями – "Горнодобывающая про- мышленность" (23,5%), "Транспорт и логистика" (19,8%) и "Разработка про- мышленного ПО" (14,7%). хозяйства и пр., а также АСУ, используемые на опытном про- изводстве. Показатель учебных заведе- ний можно считать примером "фонового уровня" случайных угроз для систем АСУ, считая системы учебных заведений максимально небезопасными. В самом деле, системы АСУ в образовательных учрежде- ниях, как правило, подключены к общей сети учреждения и менее изолированы от внеш- него мира по сравнению с систе- мами промышленных объектов. С другой стороны, мы считаем, что атаки на АСУ образователь- ных учреждений могут нести существенную угрозу и для пред- приятий различных отраслей реального сектора – в первую очередь ввиду наличия рабочих контактов и связей университе- тов/институтов с промышленны- ми предприятиями. Это совмест- ные исследовательские лабора- тории, центры инжиниринга и разработки, центры обучения персонала и повышения квали- фикации и т.д. Кроме того, такие системы АСУ могут использоваться зло- умышленниками для тестирова- ния и отладки вредоносного кода и отработки сценариев атак на реальные предприятия. В сфере образования процент атакованных систем АСУ во вто- ром полугодии изменился по сравнению с первым полугодием наиболее значительно. Высокий показатель первого полугодия обусловлен большим количе- ством атак, связанных с исполь- зованием Интернета, а также атак вредоносного ПО семей- ства Trojan.Multi.Powercod. В пер- вом полугодии 2017 г. атакам троянца Powercod подверглись 9,8% компьютеров АСУ в учеб- ных заведениях из нашей выбор- ки. Во втором полугодии этот показатель составил 0,7%. Источники заражения систем промышленной автоматизации Во втором полугодии 2017 г. большинство показателей по основным источникам зараже- ний остались на уровне про- шлого полугодия (рис. 10). Интернет был и остается основным источником зараже- ния компьютеров технологиче- ской инфраструктуры организа- ций. Такой ситуации способству- ет сопряжение корпоративной и технологической сетей, наличие (ограниченного) доступа к Интер- нету из технологической сети, а также подключение к Интернету компьютеров из технологиче- ской сети через сети мобильных операторов (с помощью мобиль- ных телефонов, USB-модемов и/или Wi-Fi-роутеров с поддерж- кой 3G/LTE). Что касается подрядчиков, разработчиков, интеграторов, системных/сетевых администра- торов, которые подключаются к технологической сети извне (напрямую или удаленно), то они часто имеют свободный доступ к Интернету. Их компьютеры входят в группу наибольшего риска и могут стать каналом проникновения вредоносного ПО в технологические сети обслу- живаемых ими предприятий. Напомним, что в нашей выборке регулярно подключаются к Интернету около 40% всех ком- пьютеров. Отметим, что, помимо вредоносных и зараженных сай- тов, в категории "Интернет" также учитываются фишинговые письма и вредоносные вложе- ния, открываемые в почтовых Web-сервисах (через браузер). Эксперты Kaspersky Lab ICS- CERT обращают внимание на то, что вредоносные программы и скрипты, встраиваемые в тело электронных писем, часто используются в целевых атаках на промышленные предприятия. В большинстве случаев зло- умышленники распространяют письма с вредоносными вложе- ниями в формате офисных доку- ментов, таких как MS Office и PDF, а также архивы, содержа- щие исполняемые файлы вре- доносного ПО. На 1,7 п.п. снизилась доля угроз, найденных при проверке сменных носителей, что является важным показателем, поскольку такие устройства часто исполь- зуются для передачи информа- ции в технологической сети про- мышленного производства. Остальные показатели не пре- терпели значительных изменений. Классы вредоносного ПО Актуальными угрозами для компьютеров АСУ остаются вре- доносные программы класса Tro- jan, задача которых – проникно- вение в атакуемую систему, доставка и запуск прочих моду- лей вредоносного ПО. Вредо- носный код этих программ чаще всего был написан на скриптовых языках программирования (Javascript, Visual Basic Script, Powershell, AutoIt в формате Auto- CAD), а также в формате ярлыка Windows (.lnk), ссылающегося на следующий модуль (рис. 11). В качестве основных модулей чаще всего эти троянцы пыта- лись загрузить и запустить: l троянцы-шпионы (Trojan-Spy и Trojan-PSW); l программы-вымогатели (Tro- jan-Ransom); l бэкдоры (Backdoor); l средства удаленного админи- • 43 ИССЛЕДОВАНИЕ www.itsec.ru Рис. 11. Классы вредоносного ПО, процент атако- ванных компьютеров АСУ, второе полугодие 2017 г. Рис. 12. География атак на системы промышлен- ной автоматизации, второе полугодие 2017, про- цент атакованных компьютеров АСУ в стране Рис. 13. Tоп 15 стран по проценту атакованных компьютеров АСУ При расчетах мы исключили страны, в которых числа наблюдаемых Kaspersky Lab ICS CERT систем промышленной автоматизации недостаточно для получения репрезентативных данных.

RkJQdWJsaXNoZXIy Mzk4NzYw