Rudarenje, špijuniranje, dupliranje – energetski sektor pod pritiskom sajber pretnji

Rešenja kompanije Kaspersky bila su aktivirana na gotovo polovini računara industrijskih kontrolnih sistema (ICS) u energetskom sektoru na globalnom nivou u prvih 6 meseci 2019. godine. Tri najzastupljenije sajber pretnje bile su crvi, spajveri i rudari kriptovaluta – zajedno, oni čine gotovo 14% udela svih targetiranih računara. Ovo su glavni nalazi novog izveštaja ICS CERT tima kompanije Kaspersky o pejzažu industrijskih pretnji u prvoj polovini 2019.

Industrijski sajber incidenti su među najopasnijima s obzirom na to da mogu rezultovati zaustavljanjem proizvodnje, realnim finansijskim gubicima i prilično je teško savladati ih. Ovo je naročito slučaj kada incident nastane u kritičnim sektorima bitnim za svakodnevni život, poput energetskog. Statistika za prvu polovinu 2019. godine, automatski obrađena od strane bezbednosnih tehnologija kompanije Kaspersky, pokazala je da oni koji upravljaju energetskim rešenjima ne smeju da spuštaju gard. Sve u svemu, tokom posmatranog perioda, proizvodi kompanije Kaspersky bili su aktivirani na 41,6% računara industrijskih kontrolnih sistema u energetskom sektoru. Veliki broj konvencionalnih primeraka malvera koji nisu bili dizajnirani za industrijske kontrolne sisteme su bili blokirani.

Među malicioznim programima koji su bili blokirani, najveću opasnost predstavljaju rudari kriptovaluta (2.9%), crvi (7.1%), i različiti oblici spajvera (3.7%). Inficiranje ovakvim malverima može negativno da se odrazi na dostupnost i integritet industrijskih kontrolnih sistema, kao i drugih sistema koji su deo industrijske mreže. Među otkrivenim pretnjama neke su posebno značajne. To uključuje specijalizovani malver trojanac, AgentTesla, dizajniran da ukrade podatke za autentifikaciju, skrinšotove, i podatke uhvaćene preko veb kamere i tastature. U svim analiziranim slučajevima, napadači su slali podatke putem kompromitovanih poštanskih sandučića u različitim kompanijama.

Pored malvera, proizvodi kompanije Kaspersky su takođe otkrili i blokirali slučajeve Meterpreter bekdora koji je korišćen za daljinsko kontrolisanje računara na industrijskim mrežama energetskih sistema. Napadi koji koriste bekdor su ciljani i skriveni i često izvršeni u manuelnom modu. Mogućnost napadača da krišom i sa udaljenosti kontrolišu zaražene računare industrijskih kontrolnih sistema predstavlja ogromnu pretnju industrijskim sistemima. Poslednje, ali ne i najmanje važno, je da su rešenja kompanije otkrila i blokirala Syswin, novog crva brisača pisanog u programskom jeziku Python i spakovanog u Windows .exe format. Ova pretnja može imati ogroman uticaj na računare industrijskih kontrolnih sistema jer može samostalno da se umožava i uništava podatke.

Energetski sektor nije jedini koji se suočio sa malicioznim objektima i aktivnostima. Druge industrije, analizirane od strane stručnjaka kompanije Kaspersky, takođe imaju razloga za brigu jer automobilska prozvodnja (39.3%) i automatizacija zgrada (37.8%) zauzimaju drugo i treće mesto u pogledu procenata računara industrijskih kontrolnih sistema na kojima su zlonamerni objekti blokirani.

Ostali nalazi izveštaja uključuju:

  • U proseku, računari industrijskih kontrolnih sistema ne funkcionišu u potpunosti unutar bezbednosnog parametra tipičnog za korporativna okruženja, i u velikoj meri su zaštićeni od mnogih pretnji koje su takođe relevantne za kućne korisnike koristeći sopstvena merenja i alate.

Drugim rečima, zadaci koji se odnose na zaštitu korporativnog segmenta i segmenta industrijskih kontrolnih sistema u određenoj meri nisu povezani.

  • Generalno, nivo malicioznih aktivnosti u segmentu industrijskih kontrolnih sistema je povezan sa ostalim malverskim aktivnostima u zemlji.

  • U proseku, u zemljama u kojima je situacija sa bezbednošću segmenta industrijskih kontrolnih sistema pogodna, niski nivoi napadnutih računara industrijskih kontrolnih sistema se pripisuju zaštitnim merama i alatima koji se koriste, radije nego generalno niskom nivou malicioznih aktivnosti.

  • Maliciozni programi koji se samostalno umnožavaju su veoma aktivni u nekim zemljama. U analiziranim slučajevima, to su bili crvi dizajnirani da inficiraju prenosne uređaje (USB fleševi, prenosivi hard diskovi, mobilni telefoni, itd.) Izgleda da je inficiranje crvom putem prenosnih uređaja najčešći scenario koji se može desiti računarima industrijskih kontrolnih sistema.

„Prikupljena statistika, kao i analiza sajber pretnji, su dokazni materijal za procenu trenutnih trendova i predviđanje vrste opasnosti za koju bi trebalo da se pripremimo. Ovaj izveštaj je identifikovao da bi stručnjaci za bezbednost trebalo da budu naročito oprezni u vezi sa milicioznim softverima koji su usmereni na krađu podataka, špijuniranje kritičnih objekata, upada u perimetar i uništavanje podataka.

Svi ovi tipovi incidenata mogu da uzrokuju mnogo problema za industriju”, izjavio je Kiril Kruglov (Kirill Kruglov), istraživač bezbednosti u kompaniji Kaspersky.

ICS CERT tim kompanije Kaspersky preporučuje primenu sledećih tehničkih mera:

  • Redovno ažurirajte operativne sisteme, softvere aplikacija i bezbednosna rešenja na sistemima koji su deo industrijske mreže preduzeća.

  • Ograničite mrežni saobraćaj na portovima i protokolima korišćenim na ruterima i unutar mreže operativnih tehnologija organizacije.

  • Proverite kontrolu pristupa za komponente industrijskih kontrolih sistema u industrijskoj mreži preduzeća i na njenim granicama.

  • Obezbedite posvećenu redovnu obuku i podršku zaposlenima, kao i partnerima i dobavljačima koji imaju pristup vašoj mreži operativnih tehnologija/industrijskih kontrolnih sistema.

  • Uvedite posebna endpoint zaštitna rešenja poput Kaspersky Industrial CyberSecurity na servere industrijskih kontrolnih sistema, radne stanice i HMI kako biste obezbedili operativne tehnologije i industrijsku infrastrukturu od nasumičnih sajber napada; a rešenja praćenja mrežnog saobraćaja, analize i otkrivanja za bolju zaštitu od ciljanih napada.