Enerģētikas nozare izjūt kiberdraudu spiedienu

2019. gada 3. oktobrī
2019. gada pirmajos sešos mēnešos Kaspersky risinājumu reakcija tika izraisīta gandrīz pusē ražošanas vadības sistēmu (ICS) datoru enerģētikas nozarē visā pasaulē. Trīs galvenie kiberdraudi bija tārpi, spiegprogrammatūras un kriptonaudas racēji — kopā tie veidoja gandrīz 14 % īpatsvaru uzbrukumiem pakļautajos datoros. Tie ir vieni no galvenajiem secinājumiem Kaspersky ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas pārskatā par rūpniecisko apdraudējumu vidi 2019. gada pirmajā pusgadā.

Rūpnieciskie kiberincidenti ir vieni no bīstamākajiem, jo tie var izraisīt ražošanas dīkstāvi un jūtamus finansiālos zaudējumus, turklāt ir diezgan grūti pārvarēt to sekas. It sevišķi tas attiecas uz incidentiem, kas notiek izšķirīgās, dzīvību nodrošinošās nozarēs, piemēram, enerģētikā. 2019. gada 1. pusgada statistika, ko automātiski apstrādā Kaspersky drošības tehnoloģijas, liecina, ka enerģētikas risinājumu pārvaldnieki nedrīkst zaudēt modrību. Kopumā pārskata periodā Kaspersky izstrādājumi ir reaģējuši 41,6 % ražošanas vadības sistēmu datoru enerģētikas nozarē. Tika bloķēts liels skaits parastu ļaunprogrammatūru paraugu, kas nav izstrādāti speciāli ražošanas vadības sistēmām.

Bloķēto ļaunprogrammatūru vidū visbīstamākās bija kriptonaudas izracēji (2,9 %), tārpi (7,1 %) un dažādas daudzpusīgas spiegprogrammatūras (3,7 %). Inficēšanās ar šādām ļaunprogrammatūrām var negatīvi ietekmēt ražošanas vadības un citu rūpniecisko tīklu sistēmu pieejamību un integritāti. Pamanīto apdraudējumu vidū daži ir īpaši interesanti.

Pie tādiem var pieskaitīt specializēto spiegošanas Trojas zirgu AgentTesla, kas ir paredzēts autentifikācijas datu, ekrānuzņēmumu un no tīmekļa kameras un tastatūras iegūto datu zagšanai. Visos izanalizētajos gadījumos uzbrucēji nosūtīja datus, izmantojot dažādos uzņēmumos uzlauztas e-pastkastes. Līdztekus ļaunprogrammatūrām Kaspersky izstrādājumi konstatēja un bloķēja arī lūku Meterpreter, kas tiek izmantota, lai attāli vadītu datorus energosistēmu rūpnieciskajos tīklos. Uzbrukumi, kuros tiek izmantota šī lūka, ir mērķtiecīgi un slepeni un bieži vien tiek veikti manuāli. Uzbrucēju spēja slepeni un attāli vadīt inficētos ražošanas vadības sistēmas datorus nopietni apdraud rūpnieciskās sistēmas. Pēdējais, bet ne mazāk svarīgais — uzņēmuma risinājumi pamanīja un bloķēja Syswin. Tas ir jauns dzēšanas tārps, kas sarakstīts programmēšanas valodā Python un ietverts Windows izpildāmā formātā. Šim apdraudējumam var būt liela ietekme uz ražošanas vadības sistēmas datoriem, jo tas spēj pašizplatīties un iznīcināt datus.

Ne tikai enerģētikas nozare ir saskārusies ar ļaunprātīgiem objektiem un darbībām. Arī citām Kaspersky ekspertu izanalizētajām nozarēm nav iemesla atslābināties, it sevišķi autobūves (39,3 %) un ēku automatizācijas (37,8 %) nozarei, kas ieņem otro un trešo vietu pēc ražošanas vadības sistēmu datoru, kuros bloķēti ļaunprātīgi objekti, skaita īpatsvara.

Citi pārskatā minētie secinājumi

• Caurmērā ražošanas vadības sistēmu datori nedarbojas pilnīgi uzņēmumu vidēm raksturīgā drošības perimetra iekšpusē un lielā mērā ir pasargāti no daudziem apdraudējumiem, kas attiecas arī uz mājas lietotājiem, izmantojot paši savus pasākumus un rīkus. Citiem vārdiem sakot, uzdevumi, kas attiecas uz uzņēmumu segmenta un ražošanas vadības sistēmu segmenta aizsardzību, noteiktā mērā nav saistīti.

• Vispār ļaunprātīgu darbību līmenis ražošanas vadības sistēmu segmentā ir saistīts ar ļaunprogrammatūru fona aktivitāti valstī.

• Tomēr valstīs, kur drošības situācija ražošanas vadības sistēmu segmentā ir labvēlīga, zemais uzbrukumiem pakļauto ražošanas vadības sistēmu datoru līmenis ir skaidrojams ar izmantotajiem aizsardzības pasākumiem un rīkiem, nevis kopējo zemo ļaunprātīgas darbības fona līmeni.

• Dažās valstīs ļoti aktīvas ir pašizplatošās ļaunprogrammatūras. Izanalizētajos gadījumos tie bija tārpi (datortārpu klases ļaunprātīgi objekti), kas ir paredzēti noņemamu datu nesēju (USB zibatmiņu, noņemamu cieto disku, mobilo tālruņu utt.) inficēšanai. Šķiet, ka inficēšanās ar tārpiem no noņemama datu nesēja ir visparastākais gadījums, kas var notikt ar ražošanas vadības sistēmas datoriem.

„Apkopotā statistika, kā arī rūpniecisko kiberdraudu analīze ir pārbaudīti lielumi, lai novērtētu pašreizējās tendences un prognozētu, ar kāda veida apdraudējumiem mums visiem var būt jāsastopas. Pārskatā ir konstatēts, ka drošības ekspertiem ir īpaši jāuzmanās no ļaunprogrammatūrām, kuru nolūks ir zagt datus, izspiegot izšķirīgi svarīgus objektus, iekļūt sistēmā un iznīcināt datus. Visu šo veidu incidenti var sagādāt nozarei daudz nepatikšanu,” Andis Šteinmanis, Kaspersky vadītājs Baltijā.

„Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komanda iesaka īstenot šādus tehniskos pasākumus

• Regulāri atjaunināt operētājsistēmas, lietotnes un drošības risinājumus sistēmās, kas ietilpst uzņēmuma rūpnieciskajā tīklā.

• Ierobežot tīkla datplūsmu portos un protokolos, kas tiek izmantoti robežmaršrutētājos un organizācijas operāciju tehnoloģijas tīklos.

• Veikt ražošanas vadības sistēmas komponentu piekļuves kontroles auditu uzņēmuma rūpnieciskajā tīklā un uz tā robežām.

• Nodrošināt regulāras specializētas mācības un atbalstu darbiniekiem, kā arī sadarbības partneriem un piegādātājiem, kas var piekļūt operāciju tehnoloģijas / ražošanas vadības sistēmas tīklam.

• Ražošanas vadības sistēmas serveros, darbstacijās un cilvēka–mašīnas saskarnēs izvērst specializētu galiekārtu aizsardzības risinājumu, piemēram, „Kaspersky Industrial CyberSecurity”, lai operāciju tehnoloģiju un rūpniecisko infrastruktūru nodrošinātu pret nejaušiem kiberuzbrukumiem, kā arī izvērst tīkla datplūsmas uzraudzības, analīzes un noteikšanas risinājumus, lai labāk aizsargātos pret mērķuzbrukumiem.

Visu pārskatu lasiet vietnē „Kaspersky” ICS CERT.

Par „Kaspersky”

„Kaspersky” ir starptautisks kiberdrošības uzņēmums, kas dibināts 1997. gadā. „Kaspersky” dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop inovatīvos drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības klāstā ietilpst labākā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem apdraudējumiem. Vairāk nekā 400 miljonu lietotāju ir aizsargāti ar „Kaspersky” tehnoloģijām, un mēs palīdzam 270 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais. Uzziniet vairāk vietnē www.kaspersky.com.

Par „Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandu

„Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komanda („Kaspersky” ICS CERT) ir starptautisks projekts, ko „Kaspersky” uzsāka 2016. gadā, lai koordinētu automatizācijas sistēmu piegādātāju, rūpniecisko iekārtu īpašnieku un operatoru, kā arī IT drošības pētnieku pūliņus, aizsargājot rūpniecības uzņēmumus no kiberuzbrukumiem. „Kaspersky” ICS CERT galvenokārt identificē potenciālos un pastāvošos apdraudējumus, kas ir vērsti pret ražošanas automatizācijas sistēmām un rūpniecisko lietu internetu. Pirmajā darbības gadā komanda ir atklājusi vairāk nekā 110 kritisku ievainojamību pasaules lielāko ražošanas vadības sistēmu piegādātāju izstrādājumos. „Kaspersky” ICS CERT ir aktīva dalībniece un sadarbības partnere galvenajās starptautiskajās organizācijās, kas izstrādā ieteikumus rūpniecības uzņēmumu aizsardzībai pret kiberdraudiem. ics-cert.kaspersky.com