Per pirmuosius šešis 2019 m. mėnesius „Kaspersky“ saugumo sprendimai daugelyje energetikos sektoriaus ICS (angl. Industrial Control System) kompiuterių aptiko kenkėjišką veiklą. Aukų kompiuteriuose dažniausiai (beveik 14 proc.) buvo aptinkamos trys pagrindinės grėsmės: kirminai, šnipinėjimo programos ir kriptovaliutos „kasėjai“. Tai yra viena iš pagrindinių „Kaspersky ICS CERT“ 2019 m. pirmojo pusmečio ataskaitos išvadų.
Pramoniniai kibernetiniai incidentai yra vieni iš pavojingiausių, nes jie gali sukelti gamybos prastovas, apčiuopiamus finansinius nuostolius ir yra gana sunkiai įveikiami. Tai ypač svarbu, kai incidentas įvyksta kritiniuose, tokiuose kaip energetika, sektoriuose. 2019 m. pirmojo pusmečio statistika, kuri buvo gauta iš „Kaspersky“ automatiškai apdorojamų saugumo technologijų, parodė, kad tie, kurie valdo energetinius sprendimus, turėtų pasisaugoti. Per stebėtą laikotarpį „Kaspersky“ produktai kenkėjišką veiklą aptiko beveik pusėje (41,6 proc.) energetikos sektoriaus ICS kompiuterių. Taip pat buvo užblokuota daugybė įprastų kenkėjiškų programų, kurios nebuvo skirtos ICS tipo įrangai.
Tarp šių kenkėjiškų programų didžiausią pavojų kėlė kriptovaliutos „kasėjai“ (2,9 proc.), kirminai (7,1 proc.) ir įvairios universalios šnipinėjimo programos (3,7 proc.). Tokios kenkėjiškos programos gali neigiamai paveikti ICS ir kitų pramoninio tinklo sistemų prieinamumą ir vientisumą. Tarp aptiktų grėsmių buvo keletas ypatingo dėmesio reikalaujančių pavyzdžių.
Vienas tokių – „AgentTesla“. Tai specializuota „Trojan Spy“ kenkėjiška programa, kuri skirta pavogti autentifikavimo duomenis, ekrano kopijas ir duomenis, kurie buvo užfiksuoti per interneto kamerą ar kompiuterio klaviatūrą. Visais ištirtais atvejais užpuolikai duomenis siųsdavo naudodamiesi įvairių įmonių pašto dėžutėmis. Be įprastų kibernetinių grėsmių, „Kaspersky“ produktai taip pat aptiko ir užblokavo „Meterpreter“ programą, kuri buvo naudojama nuotoliniam energetikos sektoriaus tinklų valdymui. Išpuoliai, naudojantys tokio tipo programas, yra tiksliniai, slapti ir dažnai vykdomi rankiniu būdu. Užpuolikų sugebėjimas nuotoliniu būdu ir nepastebimai valdyti užkrėstus ICS kompiuterius kelia didžiulę grėsmę pramonės sistemoms. Be to, bendrovės saugumo sprendimai aptiko ir užblokavo „Syswin“ – naują kirminą, kuris naudoja „Python“ programavimo kalbą ir yra sukurtas taip, kad atitiktų „Windows“ failų formatą. Ši grėsmė gali turėti didelę įtaką ICS kompiuteriams, nes geba savarankiškai skleisti ir naikinti tam tikrus duomenis.
Ne tik energetikos sektorius susidūrė su kenkėjiškais objektais ar veikla. Kitos pramonės šakos, kurias analizavo „Kaspersky“ ekspertai, taip pat neturėjo laiko atsikvėpti, o automobilių gamybos pramonė (39,3 proc.) ir pastatų automatizavimas (37,8 proc.) užėmė antrą ir trečią vietas pagal ICS kompiuterių, kuriuose buvo užblokuoti kenkėjiški objektai, skaičių.
Kitos ataskaitos išvados:
• Dažniausiai ICS kompiuteriai veikia ne visiškai korporatyvinei aplinkai būdingose saugumo perimetro ribose ir yra apsaugoti nuo daugelio grėsmių, kurios taip pat svarbios namų vartotojams, naudojantiems savo priemones ir įrankius. Kitaip tariant, užduotys, susijusios su korporacinio segmento ir ICS segmento apsauga, tam tikra prasme yra nesusijusios.
• Kenkėjiškos veiklos lygis ICS segmente yra susijęs su kenkėjiškų programų veikla visoje šalyje.
• Tose šalyse, kuriose padėtis dėl ICS segmento saugumo yra palanki, žemas užpultų ICS kompiuterių lygis dažniausiai yra susijęs su saugumo priemonėms ir naudojamais įrankiais, o ne žemu kenkėjiškos veiklos lygiu.
• Kai kuriose šalyse itin suaktyvėjusi savaime plintančių kenkėjiškų programų veikla. Ištirti atvejai parodė, kad dažniausiai tai kirminai (kenkėjiški kirminų klasės objektai), skirti užkrėsti įvairias duomenų laikmenas (USB atmintines, kietuosius diskus, mobiliuosius telefonus ir kt.). Atrodo, kad kirminų platinimas per nešiojamąsias laikmenas yra populiariausias scenarijus, kuris gali pasiekti ICS kompiuterius.
„Surinkta statistika ir pramoninių kibernetinių pavojų analizė yra itin svarbus rodiklis vertinant dabartines tendencijas ir numatant, kokiam pavojui turėtume pasiruošti. Šioje ataskaitoje nustatyta, kad saugumo ekspertai turėtų sunerimti dėl kenkėjiškos programinės įrangos, kuria siekiama pavogti ar sunaikinti duomenis, įsiskverbti į perimetrą, ar šnipinėti kritiškai svarbius objektus. Šios grėsmės gali sukelti itin daug rūpesčių visai pramonės šakai“, – teigė Andis Steinmanis, Kaspersky vadovas Baltijos šalims.
„Kaspersky ICS CERT“ rekomenduoja imtis šių techninių saugumo priemonių:
• Reguliariai atnaujinkite operacines sistemas, taikomąją programinę įrangą ir saugumo sprendimus tose sistemose, kurios priklauso įmonės pramoniniam tinklui.
• Apribokite tinklo srautą kompiuterio prievaduose ir protokoluose, kurie naudojami maršrutizatoriuose ir organizacijos OT (angl. Operational Technology) tinkluose.
• Audituokite ICS komponentų prieigos kontrolę įmonės pramoniniame tinkle ir jo ribose.
• Numatykite dėsningus darbuotojų, taip pat partnerių ir tiekėjų, turinčių prieigą prie jūsų OT / ICS tinklo, mokymus.
• ICS serveriuose, darbo vietose ir visose žmogaus-mašinos sąsajose įdiekite specialų saugumo sprendimą, pavyzdžiui, „Kaspersky Industrial CyberSecurity“, kad apsaugotumėte OT ir pramoninę infrastruktūrą nuo atsitiktinių kibernetinių išpuolių, užtikrintumėte tinklo srauto stebėjimą, turėtumėte analizės bei aptikimo sprendimus, ir galėtumėte geriau apsisaugoti nuo tikslinių atakų.
Pilną ataskaitą galite perskaityti „Kaspersky ICS CERT“.
Apie „Kaspersky“
„Kaspersky“ – tai 1997 m. įkurta tarptautinė kibernetinio saugumo bendrovė. „Kaspersky“ sukauptos žinios ir patirtis padeda kurti novatoriškus saugumo sprendimus ir paslaugas, kurie užtikrina viso pasaulio verslo, ypatingos svarbos infrastruktūrų, vyriausybių ir vartotojų saugumą. Platų „Kaspersky“ bendrovės portfelį sudaro pažangiausi galinių įrenginių apsaugai skirti produktai ir daugybė specializuotų saugumo sprendimų bei paslaugų, skirtų kovoti su sudėtingomis ir nuolat evoliucionuojančiomis kibernetinėmis grėsmėmis. „Kaspersky“ technologijos saugo daugiau nei 400 mln. vartotojų ir 270 tūkst. verslo klientų. Norėdami sužinoti daugiau, skaitykite www.kaspersky.com.
Apie „Kaspersky ICS CERT“
„Kaspersky Industrial Control Systems Cyber Emergency Response Team“ („Kaspersky ICS CERT“) – tai tarptautinis projektas, kurį 2016 m. pradėjo „Kaspersky“, siekdami koordinuoti automatizavimo sistemų tiekėjų, pramonės objektų savininkų ir IT saugumo tyrėjų pastangas apsaugoti pramonės įmones nuo kibernetinių išpuolių. „Kaspersky ICS CERT“ savo pastangas pirmiausia skiria potencialių ir esamų grėsmių, susijusių su pramoninėmis automatikos sistemomis ir daiktų internetu, nustatymui. Pirmaisiais veiklos metais komanda aptiko daugiau kaip 110 itin svarbių pažeidžiamumų. „Kaspersky ICS CERT“ komanda yra aktyvus lyderiaujančių tarptautinių organizacijų, kurios rengia rekomendacijas, kaip apsaugoti pramonės įmones nuo kibernetinių grėsmių, narys ir partneris. Daugiau informacijos: ics-cert.kaspersky.com.