Hackeři se zaměřili na energetický průmysl

Bezpečnostní řešení společnosti Kaspersky musela během prvního pololetí zasáhnout po celém světě proti kybernetickým hrozbám na téměř polovině počítačů průmyslových řídicích systémů (ICS) v energetickém sektoru. Mezi nejpočetnější hrozby se řadily červy, spyware a programy nelegálně těžící kryptoměny. Dohromady se pod útoky podepsaly na 14 % všech zacílených počítačů. Tato a další zjištění obsahuje zpráva Kaspersky ICS CERT Report zaměřená na kybernetické hrozby v průmyslu během prvního pololetí 2019. 

Útoky na průmyslové podniky patří mezi nejnebezpečnější, protože dokážou zastavit celou výrobu, způsobují výrazné finan­ční ztráty a je velmi složité je zastavit. Přesně to se stalo v klíčovém sektoru energetiky. Ze statistik za první pololetí, automaticky generovaných bezpečnostními řešeními Kaspersky, vyplývá, že by se operátoři a bezpečnostní technici v energetickém průmyslu měli mít obzvláště na pozoru. Celkově v daném období totiž produkty Kaspersky zaznamenaly pokus o kybernetický útok na 41,6 % počítačů ICS v energetickém sektoru. Zároveň bylo zaznamenáno velké množství vzorků běžného malwaru, který nebyl primárně zacílený na ICS.

Největší podíl mezi zablokovanými škodlivými programy zaujímal software pro nelegální těžbu kryptoměn (2,9 %), červy (7,1 %) a různé varianty víceúčelového spywaru (3,7 %). Infekce těmito malwary může negativně ovlivnit dostupnost a integritu ICS a dalších systémů zapojených do průmyslové sítě.

Za pozornost stojí např. specializovaný špionážní trojský kůň AgentTesla, který je vyvinutý s cílem krást autentifikační data, snímky obrazovek a data pocházející z webové kamery nebo klávesnice. Ve všech analyzovaných případech šířili útočníci malware prostřednictvím ukradených e-mailových účtů několika firem. Kromě malwarových útoků detekovaly systémy Kaspersky také back­doory. Mimo jiné zablokovaly backdoor Meterpreter, který útočníkům umožňoval ovládat počítače v průmyslové síti energetických systémů na dálku. Útoky využívající tento backdoor jsou většinou cílené a velmi nenápadné, protože často bývají prováděny v manuálním módu.

Schopnost útočníků skrytě a dálkově ovládat infikované počítače ICS je velkou hrozbou pro průmyslové systémy. Jako další příklad lze uvést Syswin, novou verzi wiper-červu, který je napsaný v programovacím jazyku Python a ve spustitelném formátu Windows. Tato hrozba může mít velmi negativní dopady na počítače ICS, protože je schopná se sama šířit systémem a mazat data.

Energetický sektor ale nebyl jediný, který čelil škodlivým objektům a aktivitám. Významnému počtu útoků byly vystaveny také firmy a jejich ICS v automobilovém průmyslu (39,3 % z nich) a systémy automatizace budov (37,8 %).

Další zajímavá zjištění zmíněné zprávy:

• Počítače ICS nebývají běžně součástí vnitřního bezpečnostního perimetru, který je typický pro korporátní prostředí. Bývají do velké míry chráněny vlastními opatřeními a nástroji. Lze tak říct, že úkoly související s ochranou podnikové infrastruktury a ICS jsou do jisté míry na sobě nezávislé.
• Obecně je úroveň škodlivých aktivit v segmentu ICS spojena s celkovou malwarovou aktivitou probíhající v konkrétní zemi.
• V zemích, kde je situace s bezpečností ICS příznivá, je však možné malý počet napadených počítačů ICS připsat opatřením a nástrojům, které firmy používají, spíše než obecně nízké aktivitě hackerů.
• Škodlivé programy, které se samy šíří systémem, jsou v některých státech velmi aktivní. V analyzovaných případech byly tyto červy (škodlivé objekty třídy Worm) navrženy tak, aby infikovaly přenosná zařízení (USB disky, externí pevné disky nebo mobilní zařízení). Zdá se, že si hackeři velmi oblíbili postup, kdy k napadení počítačů ICS dojde prostřednictvím červů uložených na přenosných zařízeních.

Aby se průmyslové firmy vyhnuly problémům spojeným s kybernetickými hrozbami, doporučují odborníci z Kaspersky tato opatření:

• pravidelně aktualizujte operační systémy, aplikace, softwary a bezpečnostní řešení na systémech, které jsou součástí firemní průmyslové sítě,
• zablokujte síťový provoz na portech a protokolech používaných na okrajových routerech a uvnitř firemní sítě OT,
• proveďte audit správy přístupu pro komponenty ICS ve firemní průmyslové síti a na jejích periferiích,
• pravidelně školte své zaměstnance v oblasti kybernetické bezpečnosti a nezapomínejte ani na své partnery a dodavatele, kteří mají přístup do vaší sítě OT/ICS,
• využívejte na svých serverech, pracovních stanicích a HMI speciální bezpečnostní řešení, která ochrání OT a průmyslovou infrastrukturu před náhodnými kybernetickými útoky.

Společnost Kaspersky pro ochranu ICS nabízí systém Kaspersky Industrial Cybersecurity. Toto řešení je vhodné doplnit monitorováním síťového provozu a analytickými a detekčními řešeními.

Celou zprávu si mohou zájemci přečíst na stránce Kaspersky ICS CERT: http://bit.ly/32fj5mJ.

[Tisková zpráva Kaspersky, říjen 2019.]

(Bk)