Журнал "Information Security/ Информационная безопасность" #5, 2018

Все статистические дан- ные, использованные в отчете, получены с помо- щью распределенной анти- вирусной сети Kaspersky Security Network (KSN). Дан- ные получены от тех пользо- вателей KSN, которые под- твердили свое согласие на их анонимную передачу. В силу ограничений продук- та и законодательных ограничений мы не иденти- фицируем конкретную ком- панию/организацию, от кото- рой KSN получает статисти- ческие данные. Данные получены с защищаемых продуктами "Лаборатории Касперского" компьютеров АСУ, которые Kaspersky Lab ICS CERT относит к технологической инфраструктуре организа- ций. Основные события полугодия Уязвимости Spectre и Meltdown в промышленных решениях В начале 2018 г. в процессо- рах Intel, ARM64 и AMD были обнаружены уязвимости, поз- воляющие получить несанкцио- нированный доступ к содержи- мому виртуальной памяти. Атаки, использующие эти уязви- мости, были названы Meltdown и Spectre. Выявленная проблема связа- на с тремя уязвимостями: l обход проверки границ (CVE- 2017-5753/Spectre); l манипуляция целевым кэшем адресов ветвлений (CVE-2017- 5715/Spectre); l оседание данных в кэше после отмены операции (CVE- 2017-5754/Meltdown). Атаки Spectre позволяют пользовательскому приложе- нию получить данные другой программы, Meltdown, – также содержимое памяти ядра. Данная проблема затронула множество компьютеров, сер- веров и мобильных устройств под управлением операционных систем Windows, macOS, Linux, Android, iOS и Chrome OS, использующих уязвимые мик- ропроцессоры. Промышленное оборудование – серверы SCADA, промышленные компьютеры и сетевые устройства с уязвимыми процессорами – также оказалось подвержено уязвимостям Melt- down и Spectre. Одной из первых об уязвимо- стях своих продуктов заявила компания Cisco. Среди затро- нутых устройств – маршрутиза- торы Cisco 800 Industrial Integ- rated Services и коммутаторы Industrial Ethernet 4000. Затем уведомления о влия- нии уязвимостей Meltdown и Spectre на свои продукты опуб- ликовали другие промышлен- ные вендоры. Об уязвимости десятков своих продуктов, включая систе- мы управления, различные про- мышленные компьютеры и HMI, проинформировала своих кли- ентов PHOENIX CONTACT. В числе уязвимых продуктов компании Yokogawa оказались станция управления (FCS) системы CENTUM VP/CS 3000 и контроллер системы без- опасности (SCS) для системы противоаварийной защиты ProSafe-RS. Уязвимости Meltdown и Spec- tre затронули также промыш- ленное оборудование Siemens: устройства RUGGEDCOM APE и RX1400 VPE, панели опера- тора SIMATIC HMI серии Com- fort, промышленные компьюте- ры SIMATIC IPC, программируе- мый логический контроллер SIMATIC S7-1500 Software Cont- roller и др. Помимо информации об уязвимостях Meltdown и Spectre компания Siemens сообщила о подверженности своих решений еще двум брешам из группы уязвимостей под названием Spectre Next Generation (Spec- tre-NG), которые были обнару- жены позднее в мае 2018 г. Информацию об использова- нии уязвимых процессоров в своих продуктах опубликовали также Schneider Electric, ABB, OSIsoft и другие вендоры. Криптомайнеры в промышленных сетях В феврале 2018 г. в СМИ появилось сразу несколько сообщений о заражении про- мышленных предприятий вре- доносным программным обес- печением с функцией майнинга криптовалюты. В одной из водоочистных станций в Европе зараженными оказались четыре сервера под управлением операционной системы Windows XP с про- граммным обеспечением CIM- PLICITY SCADA от компании GE Digital. Вредоносное ПО замедляло работу HMI и SCADA-серверов, используе- мых для мониторинга техноло- гических процессов. Атаке подверглись также облачные серверы компании Tesla с целью использования части их мощностей для добычи криптовалюты Monero. Кибер- преступники атаковали фрейм- ворк Kubernetes, который экс- плуатируется в инфраструктуре ведущего производителя элек- тромобилей, и внедрили в него вредоносное ПО для генерации криптовалюты. По данным KL ICS CERT, эти широко обсуждаемые инциден- ты далеко не единичны и отра- жают общую неутешительную тенденцию. 12 • СПЕЦРАЗДЕЛ редставляем вашему вниманию очередной отчет Центра реагирования на инциденты информационной безопасности промышленных инфраструктур “Лаборатории Касперского” (Kaspersky Lab ICS CERT), где представлены результаты исследований ландшафта угроз для систем промышленной автоматизации, полученные в течение первого полугодия 2018 года. Основная цель отчета – информационная поддержка глобальных и локальных команд реагирования на инциденты, специалистов по информационной безопасности предприятий и исследователей в области защищенности промышленных объектов. П Ландшафт угроз для систем промышленной автоматизации Первое полугодие 2018 года Рис. 1. Доля компьютеров АСУ, атакованных вре- доносными программами для майнинга крипто- валют