По данным нового отчета Kaspersky ICS CERT, в первые шесть месяцев 2020 года доля атакованных компьютеров выросла по сравнению с предыдущим полугодием с 38% до почти 40% в системах автоматизации зданий и с 36,3% до 37,8% в АСУ ТП нефтегазовой отрасли. В целом же эксперты сообщили о глобальной тенденции к снижению доли атакованных компьютеров АСУ ТП. В первом полугодии 2020 года вредоносные объекты были заблокированы на трети (32,6%) компьютеров АСУ ТП* в мире. По сравнению с предыдущим полугодием этот показатель снизился на 6 процентных пунктов.
Рост атак на компьютеры АСУ ТП в нефтегазовой отрасли может быть связан с появлением множества новых программ-червей, написанных на скриптовых языках, в частности Python и PowerShell. Эти зловреды умеют собирать логины и пароли из памяти системных процессов с помощью разных версий утилиты Mimikatz. С конца марта до середины июня 2020 года эксперты находили большое количество таких червей, преимущественно в Китае и на Ближнем Востоке.
Системы автоматизации зданий часто подключены к корпоративной сети и интернету, что делает поверхность атаки больше, чем для систем АСУ ТП. Кроме того, чаще всего устройства принадлежат компаниям-подрядчикам, и, соответственно, их безопасность хуже контролируется сотрудниками отделов информационной безопасности нанимающей компании, что опять же облегчает доступ атакующим.
Увеличение процента атакованных компьютеров в этих инфраструктурах стало исключением на фоне глобальной тенденции к снижению количества атакованных компьютеров — как в АСУ ТП, так и в IT-сегменте. Одной из ее основных причин стало снижение количества широкомасштабных атак и замещение их более целевыми. Как следствие, угрозы становятся фокусированными, а значит, более разнообразными и сложными. Стало заметно больше семейств бэкдоров, троянцев-шпионов, эксплойтов для Win32 и вредоносного ПО на платформе .NET.
Помимо этого, в первом полугодии 2020 года продолжили атаковать компьютеры АСУ ТП программы-вымогатели. Печально известными стали инциденты, связанные с сериями атак на медицинские организации и промышленные компании в разных странах мира.
Пандемия не оказала заметного влияния на статистику полугодия — за одним исключением. В этот период на предприятиях возникла необходимость выполнять многие производственные задачи дистанционно. Как следствие, выросло число компьютеров АСУ ТП, доступных удаленно по протоколу RDP. Эксперты отмечают, что с января по май вдвое вырос и процент компьютеров АСУ ТП, на которых фиксировались попытки подбора пароля к RDP. Еще одним вполне ожидаемым следствием пандемии стала эксплуатация злоумышленниками темы COVID-19 в социальной инженерии. По наблюдениям экспертов, прием оказался настолько универсальным и эффективным, что его применяют даже известные APT-группы, атакующие в том числе промышленные компании. В частности, в апреле подобные атаки проводились на государственный сектор, транспортные и промышленные компании Азербайджана, главным образом энергетические. Особенный интерес злоумышленники проявляли к SCADA-системам, связанным с ветряными турбинами. Также был обнаружен фишинговый сайт, имитирующий электронную почту правительства Азербайджана и предназначенный для кражи учетных данных.
«В большинстве отраслей число атак на компьютеры АСУ ТП снизилось, однако угроз все еще достаточно. Чем сложнее атаки, тем выше вероятность того, что они смогут нанести серьезный ущерб, даже если они случаются реже. В связи с вынужденным переходом на удаленный режим работы поверхность атаки стала больше. Для промышленных объектов ввиду отсутствия на местах некоторых сотрудников дополнительно стало сложнее быстро среагировать на инцидент путем, например, перевода атакованной системы в режим ручного управления. Это означает, что последствия атаки могут стать более разрушительными. Поскольку, как мы видим, системы автоматизации зданий и нефтегазовые предприятия стали чаще, чем раньше, сталкиваться с киберугрозами, мы рекомендуем владельцам и операторам таких систем принять дополнительные меры безопасности», — комментирует Кирилл Круглов, старший исследователь-разработчик Kaspersky ICS CERT.
Узнать больше о сервисе Kaspersky ICS Threat Intelligence Reporting и подать заявку на демоверсию можно на портале Kaspersky Threat Intelligence.
Полная версия отчета «Ландшафт угроз для систем промышленной автоматизации в первом полугодии 2020 года» доступна по ссылке: https://ics-cert.kaspersky.ru/reports/2020/09/15/threat-landscape-for-industrial-automation-systems-h1-2020/.
Для защиты компьютеров АСУ от киберугроз эксперты «Лаборатории Касперского» рекомендуют:
- установить защитное решение для корпоративных конечных устройств, такое как Kaspersky Endpoint Security для бизнеса, с возможностью централизованно управлять политиками безопасности и поддерживать в актуальном состоянии антивирусные базы данных и программные модули;
- использовать защитные решения для конечных устройств ОТ и сетей, такое как Kaspersky Industrial CyberSecurity, чтобы обеспечить всестороннюю защиту всех критически важных промышленных систем;
- использовать аккаунты с правами доменного администратора только при необходимости, и, если проводилась аутентификация, перезагружать систему;
- внедрить политику паролей с высокими требованиями к уровню сложности и регулярной смене;
- при подозрении на заражение системы провести проверку антивирусом и принудительно сменить пароли ко всем аккаунтам, которые использовались для входа в потенциально скомпрометированные системы.
*Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей, и компьютеры, используемые для разработки ПО для систем промышленной автоматизации.