Все больше важных инфраструктурных объектов подключаются к телекоммуникационным сетям разного назначения. Чаще всего для того, чтобы операторы имели возможность удаленно управлять такими системами.
Но есть и обратная сторона медали – ненулевая вероятность компрометации подобных систем. И подобное случается все чаще, в самых разных странах и на разных континентах. Для того, чтобы ликвидировать данную угрозу в России, сейчас появилась инициатива, призванная сделать защиту комплексной, комбинируя противодействие целенаправленным вредоносным действиям со стороны киберпреступников с прогностикой технического состояния оборудования.
Немного о потенциальных и реальных угрозах
Компрометация важных инфраструктурных сооружений – электростанций, насосных станций и других промышленных объектов чревата не только огромными убытками, но и является угрозой здоровью и даже жизни людей. В качестве примера можно привести несколько наиболее ярких кейсов последнего времени.
Блокирование сетей Colonial Pipeline. 7 мая программа-вымогатель DarkSide полностью заблокировала работу сетей Colonial Pipeline, что привело к полному прекращению работы топливопровода на несколько дней. Результат – рост цен на бензин и временная нехватка топлива на юго-востоке США. Оператору топливопровода даже пришлось заплатить около $4 млн в криптовалюте создателям вируса для того, чтобы восстановить работу инфраструктуры.
Вредоносное ПО на индийской АЭС. В 2019 году представители Индийской корпорации по атомной энергии (Nuclear Power Corporation of India Ltd, NPCIL) заявили про обнаружение вредоносного программного обеспечения на АЭС. Речь идет о malware под названием Dtrack, которому удалось проникнуть на чрезвычайно важные объекты АЭС Куданкулам. Само ПО включало в себя такие модули:
- клавиатурного шпиона;
- получения истории браузера;
- сбора IP-адресов хостов, информации о доступных сетях и активных соединениях;
- сбора списка всех запущенных процессов;
- получения списка всех файлов на всех доступных дисках.
Кроме того, дропперы содержали средства удаленного администрирования ПК (Remote Administration Tool, RAT). Исполняемый файл RAT позволяет злоумышленникам выполнять различные операции на хосте, такие как загрузка, скачивание, запуск файлов и так далее.
Правда, сообщалось, что вирус проник в административную сеть АЭС, заразив лишь один компьютер и не смог попасть во внутренние сети объекта.
Взлом управляющих систем водоочистных сооружений Израиля. В 2021 году была взломана система очистных сооружений в округе Пинеллас, штат Флорида, которая обрабатывает воду для 15 тысяч человек. Злоумышленники пытались повысить уровень гидроксида натрия в воде более чем в 100 раз, рассказал шериф округа Боб Гуалтьери на пресс-конференции в понедельник, 8 февраля. Нормальная концентрация щелочи в воде соответствует 100 ppm, киберпреступники же хотели изменить этот показатель на 11100 ppm.
В итоге им удалось изменить данные в программном обеспечении, но служба безопасности среагировала оперативно, так что химические показатели воды практически не изменились. Тем не менее, не исключено, что на другом объекте такая атака может быть реализована.
Взлом энергосистемы целой области в Украине. Речь идет об инциденте 2015 года на территории Ивано-Франковской области. Тогда из-за действий злоумышленников без света осталось более 230 тысяч человек. Компания «Прикарпатьеоблэнерго», оператор системы, заявила, что ее «фактически хакнули».
Как говорит специалист по безопасности Роберт Ли из компании Dragos Security, ко взлому хакеры готовились не меньше полугода. Сначала они внедрили на компьютеры программу Blackenergy 3. Для этого они использовали старый способ: пользователям сети отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, активировал вредоносную программу.
Проблемы, вызванные вирусом, удалось ликвидировать лишь через пару недель.
Есть, конечно, и другие случаи, которые происходили относительно давно:
- Остановка корпоративной сети атомной электростанции в Огайо, США. Причина – червь Slammer, который после проникновения в сеть компании распространился на системы мониторинга безопасности и охлаждения станции. Главный компьютер после этого вышел из строя. Работа электростанции была приостановлена на сутки, но затем проблему удалось решить.
- В 2010 году сразу 30 тысяч компьютерных систем Ирана были заражены вирусом Stuxnet. Взлом привел к остановке работы около 1,3 тыс. центрифуг по обогащению урана в Натанзе. По словам экспертов, этот инцидент отбросил ядерную программу страны на два года назад.
- Получение доступа злоумышленниками к внутренней сети оператора Hydro and Nuclear Power Co Ltd. Проникнуть в сеть удалось после рассылки сотрудникам компании более 5,9 тыс. зараженных писем. В дальнейшем преступники требовали остановки реакторов на АЭС «Кори» и «Вольсон», а также публиковали схемы, внутренние инструкции и данные о сотрудниках. Представители компании заявляли, что похищенная информация не является конфиденциальной и не представляет угрозы. Власти страны обвинили во взломе КНДР.
В целом, наиболее опасными киберугрозами для промышленных и государственных предприятий в 2021 году являются случайные заражения, атаки вымогателей, кибершпионаж и APT. Кроме того, потенциальные угрозы несет еще и ситуация с выходом сотрудников на работу в офисы после ослабления карантинных мер, связанных с COVID-19. Сотрудники приносят с собой из дома использовавшееся корпоративное оборудование, собственные устройства, плюс администраторам предприятий приходится перенастраивать периметр сетей на новый режим работы, измененный во время бурного распространения удаленки.
А что в России?
В стране много потенциально привлекательных для киберпреступников инфраструктурных объектов. Для того, чтобы избежать их компрометации и ее опасных последствий, АО «РОТЕК» и Group-IB договорились об объединении своих методов, предоставляя предприятиям комплексную систем защиты элементов критической инфраструктуры.
В рамках подписанного соглашения, все технологические риски клиентов, связанные с прогнозированием состояния оборудования, закрывает разработанный компанией РОТЕК программно-аппаратный комплекс предиктивной аналитики — «ПРАНА», а решение Group-IB — Threat Hunting Framework (THF) обеспечит защиту предприятий от ряда актуальных киберугроз, включая атаки программ-вымогателей, шпионажа или кибердиверсий. Кстати, систему “ПРАНА” ранее внедрили в СУБД «Яндекс ClickHouse».
В отличие от распространенных систем АСУ ТП, сигнализирующих, в большинстве случаев, о неполадках лишь «по факту», «ПРАНА» позволяет прогнозировать аварии за 2-3 месяца до инцидента. Наиболее широкое применение комплекс получил в энергетике, и это не случайно. Ежегодно на объектах генерации единой энергосистемы регистрируется более 3000 аварий, из них — более 45% на турбинном и котельном оборудовании.
Среди показательных примеров, наиболее известна авария на Саяно-Шушенской ГЭС, в результате которой погибло 75 человек. Полное восстановление электростанции завершилось в 2014 году и обошлось в 41 млрд рублей.
В таких ситуациях система прогностики могла бы помочь персоналу вовремя сориентироваться, принять меры и избежать катастрофических последствий.
В настоящее время система «ПРАНА» поддерживает оборудование всех известных производителей без доработки или дополнительной настройки (Siemens, General Electric, Силовые машины, УТЗ и др.), а стоимость уже подключенных машин составляет порядка $5 млрд.
Железо защитили, а что дальше?
Как уже упоминалось выше, со стороны Group-IB защиту от актуальных киберугроз будет обеспечивать комплексное решение нового класса Threat Hunting Framework (THF) и его основные модули — система управления инфраструктурой и анализа данных HuntBox и Sensor Industrial, программно-аппаратный комплекс для раннего обнаружения сложных угроз и реагирования на атаки в промышленном секторе.
THF Industrial — первая система защиты промышленной инфраструктуры, позволяющая автоматически расследовать инциденты, выявлять причины их возникновения, связывать атаки с атакующими и определять их мотивы. В отличие от других решений для защиты критической инфраструктуры, THF Industrial дает возможность проактивной охоты на угрозы (Threat Hunting) как внутри периметра организации, так и за ее пределами.
Преимущество системы Threat Hunting Framework Industrial в том, что она способна автоматически определять архитектуру корпоративной IТ и промышленной сетей, идентифицировать все активы, создавать карту потоков данных и останавливать атаки как в IТ, так и в OT (Operational Technology) сетях. THF Industrial оперативно выявляет атаки на контроллеры управляющие роботами, турбинами, станками, конвейерами и системами противоаварийной безопасности, присутствующими на современных производственных линиях.
В 90% случаев атак на технологический сегмент идут именно через корпоративные сети, потому решения, обеспечивающие безопасность инфраструктуры объектов промышленности и производства, должны быть комплексными и способными выявлять кибератаки на любом этапе. Их задача — полностью контролировать сеть, мониторить аномалии и нестандартную сетевую активность, фиксировать недокументированные возможности промышленных протоколов, отслеживать все действия в сети.
«Характерным признаком эпохи, в которую мы живем становится междисциплинарность. Нас уже не удивляет, когда математика приходит в биологию, а бионика приходит в машиностроение. То, что мы делаем с Group-IB — находится на стыке человеческого мира и виртуального, то, что называют интернетом вещей… При этом, мы защищаем людей от потенциальных инцидентов, связанных с машинами, а Group-IB защищает мир машин и электроники от злонамеренных действий людей, поэтому вместе мы даем совершенно уникальную комбинацию продуктов, делающую движение по этой двунаправленной дороге предсказуемой и безопасной», — сообщил Михаил Лифшиц, председатель Совета директоров АО «РОТЕК».