Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Krajobraz zagrożeń dla systemów automatyki przemysłowej w I połowie 2017 r.

Tagi:

Zespół Kaspersky Lab Industrial Control Systems Cyber Emergency Response Kaspersky Lab ICS CERT opublikował wyniki swojego badania dotyczącego krajobrazu zagrożeń dla systemów automatyki przemysłowej obejmującego pierwsze sześć miesięcy 2017 r.

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały zgromadzone przy użyciu Kaspersky Security Network (KSN) - rozproszonej sieci antywirusowej. Dane zostały uzyskane od użytkowników sieci KSN, którzy wyrazili zgodę na anonimowe przesyłanie danych ze swoich komputerów.

Dane pochodziły z komputerów chronionych przez produkty firmy Kaspersky Lab, które zespół Kaspersky Lab ICS CERT kategoryzuje jako elementy infrastruktury przemysłowej w organizacjach. W grupie tej znalazły się komputery z systemem Windows, które pełnią jedną lub kilka poniższych funkcji:     

  • nadzorcze serwery sterowania i pozyskiwania danych (SCADA),
  • serwery przechowywania danych,
  • bramy danych (OPC),
  • komputery stacjonarne inżynierów i operatorów,
  • komputery mobilne inżynierów i operatorów, 
  • Interfejs człowiek-maszyna (HMI).

W grupie tej znajdują się również komputery pracowników w organizacjach wykonawców oraz komputery administratorów sieci kontroli przemysłowej oraz twórców oprogramowania, którzy rozwijają oprogramowanie dla systemów automatyki przemysłowej.

Główne wydarzenia

W kwietniu ugrupowanie hakerskie Shadow Brokers otworzyło dostęp do archiwum National Security Agency (NSA) zawierającego exploity oraz narzędzia ataków. 

Na początku, Shadow Brokers próbowało sprzedać swoje archiwum. Następnie większość z niego została opublikowana. Udostępnione publicznie dane zawierały exploity dla sprzętu sieciowego oraz ruterów, dla systemów bankowych, dla systemów uniksowych oraz dla różnych wersji systemu Windows. Niektóre z opublikowanych luk w zabezpieczeniach stanowiły nieznane wcześniej luki dnia zerowego. 

W czerwcu 2017 r. opublikowano wyniki badania dotyczącego szkodliwego oprogramowania CrashOverride/Industroyer. Eksperci z ESET i Dragos Inc., jak również wielu niezależnych badaczy, doszło do wniosku, że celem szkodnika było zakłócenie działania systemów kontroli przemysłowej (ICS), w szczególności podstacji elektrycznych. CrashOverride/Industroyer potrafi bezpośrednio kontrolować switche oraz wyłączniki w obwodach podstacji elektrycznych.          

Eksperci z Kaspersky Lab ICS CERT poinformowali o atakach obejmujących włamania do firmowej poczty e-mail (BEC) przeprowadzonych przez nigeryjskie ugrupowania cyberprzestępcze, których celem były głównie firmy z branży przemysłowej oraz transportu i logistyki. W atakach przeanalizowanych przez Kaspersky Lab firmy przemysłowe stanowią ponad 80% potencjalnych ofiar. Łącznie w ponad 50 krajach wykryto ponad 500 zaatakowanych firm.      

Istotnym wydarzeniem w pierwszej połowie 2017 roku był wyciek archiwum ze specjalnej jednostki Amerykańskiej Centralnej Agencji Wywiadowczej. Archiwum zawierało informacje dotyczące narzędzi hakerskich CIA: szkodliwego oprogramowania, łącznie z exploitami dnia zerowego, szkodliwymi narzędziami zdalnego dostępu oraz powiązaną dokumentacją. Część archiwum została opublikowana w serwisie WikiLeaks.    

Oprogramowanie ransomware stało się istotnym zagrożeniem dla firm, łącznie z przedsiębiorstwami przemysłowymi. Jest ono szczególnie groźne dla przedsiębiorstw, które posiadają obiekty infrastruktury krytycznej, ponieważ aktywność szkodliwego oprogramowania może zakłócić procesy przemysłowe.  

W pierwszej połowie 2017 r. na komputerach ICS zablokowano ataki przeprowadzone przez oprogramowanie ransomware szyfrujące należące do 33 różnych rodzin. Na szczęście wśród wykrytych próbek nie znaleźliśmy żadnych wyspecjalizowanych programów stworzonych w celu blokowania oprogramowania automatyki przemysłowej.   

Na podstawie liczby zaatakowanych maszyn, w pierwszej połowie 2017 r. najwyżej uplasował się WannaCry – szkodnik ten odpowiadał za 13,4% wszystkich komputerów w infrastrukturze przemysłowej zaatakowanych przez oprogramowanie ransomware szyfrujące.   

170927-kl-ics-cert-1.png

TOP 10 najszerzej rozpowszechnionych rodzin trojanów szyfrujących, pierwsza połowa 2017 r.

Infekcje WannaCry były możliwe z powodu typowych błędów konfiguracji sieci przemysłowej. Przeanalizowaliśmy wszystkie ścieżki infekcji i doszliśmy do wniosku, że w większości przypadków systemy automatyki przemysłowej zostały zaatakowane przez szkodliwe oprogramowanie WannaCry z lokalnej sieci korporacyjnej oraz za pośrednictwem połączeń VPN.     

Statystyki dotyczące zagrożeń

W pierwszej połowie 2017 r. produkty firmy Kaspersky Lab zablokowały próby ataków na 37,6% chronionych przez siebie komputerach ICS na całym świecie, co stanowi o 1,6 punktu procentowego mniej niż w drugiej połowie 2016 r.    

O ile w drugiej połowie 2016 r. odsetek atakowanych maszyn zwiększał się z miesiąca na miesiąc, dynamika ataków w pierwszej połowie 2017 roku była nieco inna. W styczniu aktywność osób atakujących zmniejszyła się, następnie odsetek zaatakowanych komputerów wzrósł do poprzedniego poziomu z lutego i marca, po czym od kwietnia do czerwca znów stopniowo spadał.     

170927-kl-ics-cert-2_auto.png

Odsetek komputerów ICS zaatakowanych na całym świecie w poszczególnych miesiącach
lipiec 2016 – czerwiec 2017

Pod względem przypadków wykorzystania i stosowanych technologii, sieci przemysłowe w coraz większym stopniu przypominają sieci korporacyjne. W efekcie, krajobraz zagrożeń systemów przemysłowych upodabnia się do krajobrazu zagrożeń dla systemów korporacyjnych. 

W pierwszej połowie 2017 r. w systemach automatyki przemysłowej wykryto około 18 000 różnych modyfikacji szkodliwego oprogramowania należącego do ponad 2 500 różnych rodzin.    

W pierwszej połowie 2017 r. próby pobrania szkodliwego oprogramowania z Internetu lub uzyskania dostępu do znanych szkodliwych lub phishingowych zasobów sieciowych zostały zablokowane na 20,4% komputerów ICS.

W przypadku komputerów, które tworzą infrastrukturę przemysłową, głównym źródłem infekcji pozostaje Internet. Przyczyniają się do tego takie czynniki, jak interfejsy między sieciami korporacyjnymi a przemysłowymi, dostępność ograniczonego dostępu do Internetu z sieci przemysłowych oraz połączenie komputerów w sieciach przemysłowych z Internetem za pośrednictwem sieci operatorów telefonii komórkowej (przy użyciu telefonów komórkowych, modemów USB oraz/lub ruterów Wi-Fi ze wsparciem 3G/LTE).   

170927-kl-ics-cert-3.png

Główne źródła zagrożeń zablokowanych na komputerach ICS, pierwsza połowa 2017 r.

Szkodliwe oprogramowanie w postaci plików wykonywalnych systemu Windows (Win32/Win 64) zostało zablokowane na ponad 50% wszystkich zaatakowanych komputerów. Zamiast stworzyć plik wykonywalny, ugrupowania cyberprzestępcze często implementują szkodliwą funkcjonalność przy użyciu języka skryptowego, który jest wykonywany przez interpretery, które są już zainstalowane na komputerze potencjalnej ofiary. Poniżej znajduje się ranking głównych platform, poza Windowsem, wykorzystywanych przez szkodliwe oprogramowanie.

170927-kl-ics-cert-4.png

Platformy wykorzystywane przez szkodliwe oprogramowanie w pierwszej połowie 2017 r.

Należy zauważyć, że osoby atakujące często wykorzystują niewielkie programy ładujące napisane w języku JavaScript, Visual Basic Script lub Powershell, które są uruchamiane przy pomocy parametrów wiersza poleceń dla odpowiednich interpreterów.