Журнал "Information Security/ Информационная безопасность" #5, 2018

С начала 2018 г. наблю- дается активный рост числа новых ботнетов из IoT- устройств, что подтверждает прогнозы экспертов о замет- ном увеличении числа IoT- зомби-сетей в 2018 г. Наиболее значимыми собы- тиями с точки зрения информационной безопас- ности Интернета вещей стало появление нового бот- нета Hide 'N Seek (HNS), а также обнаружение новых модификаций зловреда Mirai – вредоносного ПО OMG и WICKED. С апреля 2018 г. в "Лабора- тории Касперского" начали использовать более точные вер- дикты для сбора статистики о майнерах. Как следствие, по нашей статистике процент ком- пьютеров АСУ, атакованных вредоносными программами для майнинга криптовалют, с апреля резко вырос и по итогам первого полугодия 2018 г. достиг 6% – это на 4,2 п.п. больше, чем в предыдущем полугодии (рис. 1). Основная проблема, связан- ная с работой вредоносных про- грамм-майнеров, заключается в увеличении нагрузки на про- мышленные информационные системы, что может оказаться неприемлемым для систем про- мышленной автоматизации – угрожать стабильности их функ- ционирования и снижать уро- вень контроля за технологиче- ским процессом предприятия. Массовые атаки на коммутаторы Cisco затронули объекты критической инфраструктуры 6 апреля по всему миру были зафиксированы массовые атаки на коммутаторы Cisco IOS. Атаки привели к сбою в работе некоторых интернет-провайде- ров, дата-центров и Web-сай- тов. Злоумышленники использо- вали уязвимость CVE-2018-0171 в программном обеспечении Cisco Smart Install Client. По результатам исследований команды Cisco Talos, в мире насчитывается более 168 тыс. потенциально подверженных ей устройств. Для атаки использо- вался специальный бот, кото- рый обнаруживает уязвимые устройства, перезаписывает на них образ системы Cisco IOS и меняет конфигурационный файл. В результате этого устройство становится недо- ступным. В основном атакам подвер- глись организации России и Ирана. По данным Cisco Talos, среди компаний, подвергшихся атакам, оказались и объекты критической инфраструктуры. Новое вредоносное ПО VPNFilter с функцией мониторинга SCADA В мае 2018 г. было обнару- жено новое вредоносное ПО VPNFilter, которое заразило не менее 500 тыс. маршрутизато- ров и устройств хранения дан- ных (NAS) в 54 странах мира. Вредоносная программа VPNFilter имеет сложную модульную архитектуру, компо- ненты которой реализуют раз- личные функции, среди них – сбор сетевого трафика и дан- ных, выполнение команд и управление устройством, пере- хват пакетов, а также монито- ринг протоколов Modbus и взаи- модействие с управляющим сервером через сеть Tor. Для инфицирования зловред использует различные извест- ные уязвимости, однако вектор заражения на данный момент неясен. При заражении на устройство устанавливается устойчивый к перезагрузке устройства компонент, способ- ный загружать дополнительные вредоносные модули. Таким образом, VPNFilter тре- бует пристального внимания ИБ-сообщества, так как этот зловред может быть использо- ван для кражи учетных данных, обнаружения промышленного SCADA-оборудования, а также проведения различных атак с использованием зараженных устройств в составе ботнета. Атака на спутниковые системы В июне 2018 г. стало известно о масштабной кибератаке с тер- ритории Китая на телекомму- никационные предприятия, опе- раторов спутников связи, а также оборонных подрядчиков в США и странах Юго-Восточ- ной Азии. В ходе атаки злоумышлен- ники инфицировали компьюте- ры, используемые для управ- ления спутниками связи и сбора данных геопозиций. По мнению экспертов, целью кибе- ратаки были шпионаж и пере- хват данных из гражданских и военных каналов связи. Однако потенциально атака могла при- вести к несанкционированному изменению позиций устройств на орбите и помехам при обме- не данными. Среди обнаруженных зло- вредов – троянцы Rikamanu и Syndicasec, программа для похищения данных Catchamas, кейлоггер Mycicil и бэкдор Spe- dear. Для заражения вредоносным ПО злоумышленники использо- вали легитимные инструменты и средства администрирования PsExec, Mimikatz, WinSCP и Log- MeIn. Такая тактика позволяет атакующим скрывать свою активность и оставаться неза- меченными. Активность IoT-ботнетов Обнаруженные ботнеты по- прежнему состоят преимуще- ственно из незащищенных IP- камер и маршрутизаторов. Однако постепенно злоумыш- ленники начинают использовать другие типы умных устройств. Так, в апреле 2018 г. был обна- ружен ботнет, состоящий в том числе из интернет-телевизоров. Этот ботнет использовался для осуществления DDoS-атак на организации финансового сек- тора. В условиях столь бурного раз- вития вредоносного ПО, наце- ленного на устройства Интер- нета вещей, существенным стало известие о появлении общедоступного инструмента для автоматического поиска и взлома уязвимых IoT-устройств. Публикация таких программ в открытом доступе может значительно расширить круг • 13 ЗАЩИТА АСУ ТП www.itsec.ru Важные исследования: подробности о вредоносном ПО Triton В конце первого полугодия 2018 г. стали известны подробности о вредоносном ПО TRITON, которое вызвало сбой в работе системы противоаварийной защиты предприятия, атакованного в декабре прошлого года. Вредоносное ПО Triton создано специально для вмешательства в работу систем противоаварийной защиты Triconex Safety Instrumented System (SIS) от Schneider Electric. Известно, что для удаленного взаимодействия с Triconex при помощи среды программирования TriStation 1131 используется закрытый сетевой протокол TriStation. Анализ вредоносного ПО показал существенное совпадение во вредоносной программе и в программном файле TriStation tr1com40.dll специфичных строк, таких как, например, мнемонические названия команд протокола TriSta- tion. Исходя из этого исследователи сделали вывод, что для реализации сетевого взаимодействия с Tri- conex разработчики Triton, по всей видимости, осуществили обратную разработку исполняемых файлов из состава TriStation 1131. Рис. 2. Процент атакованных компьютеров АСУ Доля атакованных компьютеров АСУ в первом полугодии 2018 г. в мире выросла на 3,5 п.п. и составила 41,2%. За год этот показатель увеличился на 4,6 п.п. Рост процента атакованных компьютеров АСУ связан в основном с общим повышением вредоносной активности.