Хакерские атаки на системы управления в нефтегазовой промышленности: будьте готовы

Опубликовано в номере:
PDF версия
Удачные хакерские атаки на финансовые учреждения и коммерческие предприятия достаточно освещаются в прессе. Нынче даже самые технически грамотные пользователи, использующие Интернет для банковских расчетов и покупок, переживают за свою безопасность. Что уж тут говорить о нефтегазовой промышленности, в которой атаки на системы наблюдения и управления процессами добычи, хранения и транспорта газа и нефтепродуктов могут повлечь за собой фатальные последствия. Эту опасность необходимо осознавать на всех уровнях данной отрасли.

untitledБывший разработчик компьютерных игр Дэн Кауфман (Dan Kaufman), а ныне сотрудник Департамента обороны США, занимающийся интернет-безопасностью, 8 февраля 2015 г. продемонстрировал, как, используя систему встроенной экстренной связи, взять под контроль компьютерную систему автомобиля, чтобы получить полный контроль над ускорением, торможением и даже клаксоном. Это и другие последние разоблачения дали совершенно ясно понять, что современная компьютерная безопасность не менее важна, чем защита банковского счета. На сегодня важнейшими являются вопросы защиты каждого подключения к Интернету, включая системы контроля и управления — системы, которые управляют буквально всем: от производства каждого отдельного продукта до дамбы Гувера, а также как промышленные, так и домашние системы климат-контроля.

ОСОЗНАНИЕ ОПАСНОСТИ

Большинство из нас вряд ли осведомлены о постоянных атаках на системы контроля, управляющие почти всеми процессами производства, технологическими и торговыми операциями. Однако такие системы также используются в нефтегазовой промышленности для наблюдения и управления процессами добычи, хранения, транспорта газа и нефтепродуктов, и в последнее время было совершено множество кибератак на них, причем некоторые повлекли за собой катастрофические последствия. В частности, в свежем отчете Федерального управления по информационной безопасности Германии (Federal Office of Information Security) говорится: «На один из немецких сталелитейных заводов была совершена кибератака. Хакеры получили доступ к производственным сетям, что позволило им изменять настройки доменной печи». Сам факт того, что хакеры получили доступ к управлению доменной печью на сталелитейном заводе, может показаться удивительным. Однако некоторые люди, работающие в данной отрасли, утверждают, что киберзащита систем контроля в этой области — бессмысленная трата времени и ресурсов. Более того, часто говорят, что киберзащита даже вредит системам управления, так как негативно сказывается на надежности их работы.

СОВЕТЫ ПО ЗАЩИТЕ
• Смиритесь с тем, что ваши компьютерные системы в любом случае будут подвергаться атакам.
• Больше времени уделяйте тому, чтобы хакерам было трудно найти слабые места в ваших системах.
• Соблюдайте баланс в вашей программе кибербезопасности: убедитесь,что в ней заложены необходимые и достаточные возможности для обнаружения угроз и предусмотрены адекватные ответные действия на случай, если произойдет неизбежное.

Такая точка зрения основана на изначально неверном суждении о том, что киберзащита не нужна в среде систем управления, так как такие системы независимы. Другими словами, если система не имеет выходов во внешнюю среду, то она не подвержена атакам извне. Эти суждения ошибочны по двум причинам:

    • большинство систем управления имеют подключение к Интернету, пусть не напрямую, а через корпоративную сеть;
    • даже те системы, которые в реальности не имеют подключения к Интернету, подвержены опасности (наиболее значимый пример — компьютерный червь Stuxnet).

Конечно, вы не обязаны знать о хакерской атаке на ядерный обогатительный комбинат в Иране в 2010 г. Тогда хакеры увеличили скорость вращения центрифуг до значений, лежащих за пределами их возможностей. В то же время операторы получали информацию, что центрифуги работают в штатном режиме. Многие считают, что «червь» отбросил ядерную программу Ирана на несколько лет назад. Важно отметить, что Stuxnet был запущен в систему, которая не имела никакого выхода во внешнюю сеть. Каким образом тогда вирус попал туда? Один из проверенных сотрудников принес USB-накопитель, зараженный Stuxnet, и подключил его к компьютеру во внутренней сети.

untitled

ПРИМЕРЫ АТАК

Интересным примером атак на системы управления является кампания, известная как Energetic Bear/Crouching Yeti («энергетический медведь»/«крадущийся йети»), потому что она демонстрирует, какие используются механизмы, а также — насколько часто такие кампании кибершпионажа стали иметь место. «Лаборатория Касперского» — «царица» российского антивирусного программного обеспечения — опубликовала отчет, в котором говорится, что злоумышленники, стоящие за Energetic Bear, успешно провели 2800 кибератак, включая более 100 атак на корпорации в США, Японии, Германии, Франции, Италии, Испании, Турции, Ирландии и Китае. В начале своей деятельности Energetic Bear атаковали всех подряд, но исследователи из Symantec обнаружили, что с марта 2014 г. целью кампании стали предприятия энергетической промышленности.

Более того, специалисты Symantec заявляют, что атаки Energetic Bear на системы управления были настолько успешны, что «могли бы нанести ущерб или сорвать поставки энергии в подвергшиеся атаке страны» и что в их цели входило нанесение вреда «операторам энергетических сетей, основным предприятиям энергодобывающей промышленности, операторам газотранспортных систем, а также производителям оборудования для систем управления, которое используется в энергетической промышленности».

untitled

МЕТОДИКИ АТАКИ

Как же у кибершпионов, особенно у тех, которые проводят кампанию Energetic Bear, получается так успешно захватить контроль над компьютерами множества различных корпораций, особо отдавая предпочтение системам управления? Конечно, хакеры, скорее всего, используют особо изощренные техники, которыми может управлять только элитная группа компьютерных гениев. Но тревожит то, что на самом деле все это весьма далеко от правды.

Улики указывают на то, что «наскоки» Energetic Bear проводились с использованием распространенных и легко исполнимых методов атак на всем известные слабые места систем управления. Во многих случаях хакеры использовали различные варианты «трояна» Havex Trojan — хорошо известного вредоносного программного обеспечения. Также очень часто использовался Metaspoilt — свободный инструмент, который практически не требует навыков программирования.

Вредоносный код, который связывают с атаками Energetic Bear, был рас- пространен с использованием нескольких основных методов, включающих целевой фишинг и waterholing-атаки1, а также зараженные обновления для SCADA (Supervisory Control And Data Acquisition).

Целевой фишинг (Spear-phishing) — это процесс рассылки электронных писем по определенному списку адресатов, в котором содержится или ссылка на вредоносное приложение, или зараженное вложение. На первый взгляд это похоже на обычный спам, который все мы получаем каждый день. Главное отличие — эти электронные письма отправляются определенным людям, о которых хакеры хорошо осведомлены.

Следовательно, письма составляются в такой манере, чтобы не быть похожими на обычный спам. Например, если я знаю, что вы собираетесь посетить конференцию на следующей неделе, я отправляю вам целевое фишинг-письмо, которое содержит информацию о конференции и вредоносную ссылку. При открытии с виду безопасной ссылки вы попадаете на вредоносный сайт, где ваш компьютер тут же загружает вредоносное программное обеспечение.

При атаках типа Watering hole хакеры взламывают веб-сайты, на которые часто заходит целевая группа. В случае с Energetic Bear хакеры просто заразили веб-сайты производителей систем контроля, с которых пользователи

1 – Watering hole. Это словосочетание переводится с английского как «водопой», но нередко используется и для обозначения питейных заведений с постоянным кругом клиентов. Суть подобных атак состоит в том, что злоумышленники заражают вредоносным ПО веб-сайты, часто посещаемые их потенциальными жертвами. Это могут быть сайты компаний-партнеров или подрядчиков, общественных организаций и даже правительственных учреждений.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *