Большинство киберинцидентов на промышленных объектах происходят из-за случайного заражения, хотя небольшое количество заражений все же происходит в результате целевых атак. К такому выводу пришли исследователи из Dragos, проанализировав около 500 тыс. известных кибератак на промышленные предприятия и более 30 тыс. образцов использованного в них вредоносного ПО и зараженных файлов промышленных контроллеров — огромное количество данных, выложенных на VirusTotal.

Эксперты задались целью исследовать природу атак на промышленные объекты, которые зачастую неправильно интерпретируются прессой ради создания ажиотажа. Действительно, обнаруженные в системах управления промышленными процессами (АСУ ТП) вредоносные программы зачастую попадают в сети предприятий случайно.

Системы АСУ ТП состоят из двух частей: системы SCADA отвечают за сбор данных с датчиков и управляют работой промышленных агрегатов, в то время как специализированное ПО обеспечивает взаимодействие человека с оборудованием. Так как довольно малое количество вредоносных программ способно исполняться в системах SCADA, промышленные предприятия подвергаются атакам через компьютеры, управляющие SCADA. Раньше системы промышленных объектов были изолированы от проникновения извне, но сегодня управлять АСУ ТП-системами через Интернет удобно, и поэтому подключенные к Сети компьютеры становятся точкой входа для кибератак.

По данным отчета, около 3 тыс. промышленных предприятий подвержены атакам вредоносного ПО, но большей частью эти атаки ни к чему не приводят. Компьютеры заражаются обычными зловредами вроде Sivis, Ramnit и Virut, которые не содержат специальных компонентов для вывода из строя индустриального оборудования. Например, в результате известной «атаки» на АЭС в Германии сеть предприятия была заражена червем Conficker, неспособным причинить вред оборудованию.

Тем не менее небольшая часть инцидентов, проанализированных в Dragos, является целевыми атаками, направленными на вывод из строя объектов критической инфраструктуры. Эксперты обнаружили чуть более десятка вредоносных атак на АСУ ТП-системы, и только одна из них выделяется из других. За последние четыре года один и тот же вредоносный файл всплывал около десяти раз, последний раз — в текущем месяце. То есть в течение четырех лет некий злоумышленник пытался совершать атаки на промышленные объекты, маскируя вредоносную программу под PLC-контроллер Siemens. Детектирование этого вредоносного файла классифицировалось как ложное срабатывание. Скорее всего, это был зловред под названием Irongate.

Хотя атаки подобного рода — редкость, истории известны примеры зловредов, ориентированных на SCADA-системы. Начало положил нашумевший инцидент с червем Stuxnet, похоронившим ядерную программу Ирана. Также к разряду подобных зловредов можно отнести Havex и BlackEnergy2. Исследователи уже испытали в лабораторных условиях червь для SCADA PLC-Blaster и специализированный вымогатель для SCADA LogicLocker.

Причина участившихся атак на промышленные объекты — неизбежное проникновение Интернета в отрасль. Возможность управления SCADA-системами удаленно имеет неоспоримые экономические преимущества, но каждое подключение создает уязвимость в воображаемой стене, которая традиционно разделяла ИТ и различные технологии эксплуатации предприятия.

Раньше АСУ ТП-системы были абсолютно изолированы от внешнего мира, что и заложило отставание промышленных предприятий от остального мира с точки зрения информационной безопасности. Логика работающих и ныне промышленных контроллеров была разработана около полувека назад и не приспособлена к актуальным вызовам. Кроме того, также существует проблема низкой осведомленности персонала о существующих киберугрозах.

Например, легитимное ПО для АСУ ТП-систем (включая инсталляторы интерфейсов «человек-машина» и генераторы ключей) было обнаружено в публично доступных базах данных вроде VirusTotal. Всего, по словам исследователей, таким образом было скомпрометировано более 120 файлов проектов. Злоумышленнику, планирующему атаку, достаточно просто скачать эти файлы и изучить их устройство. Также в открытом доступе обнаружены конфиденциальные данные — отчеты о состоянии безопасности на объекте, отчеты о ремонте и эксплуатации оборудования и многое другое.

Эксперты Dragos советуют поработать над уровнем осведомленности сотрудников об информационной безопасности, но больших надежд не питают: если бы разработчиков АСУ ТП-систем и представителей промышленных объектов волновали проблемы кибербезопасности, 92% хостов АСУ ТП не были уязвимы.