Вы используете устаревший браузер!

Страница может отображаться некорректно.

Следите за вещами!

Следите за вещами!

Другие выпуски этой рубрики (10)
  • добавить в избранное
    Добавить в закладки

Производство под атакой

Прочитали: 1511 Комментариев: 91 Рейтинг: 102

Бывают новости, про которые можно сказать, что они «делают этот день». Сообщение, размещенное на сайте не самой последней компании в мире ИТ, как раз из таких:

Уязвимость «нулевого дня» найдена в контроллерах подсистемы безопасности автоматизированной системы управления технологическими процессами (АСУ ТП) производства Schneider Electric. По некоторым данным, она уже поразила производственную компанию в Саудовской Аравии.

Об инциденте с удовольствием рассказали группировки «Драконов» (Dragos) и «Огненного глаза» (FireEye), но, по всей видимости, они не имеют к уязвимости никакого отношения. Она разработана в Иране, у которого с Саудовской Аравией давние религиозные споры.

... Вендор заявляет, что уязвимость проявляет себя, когда контроллер находится в программируемом режиме. Поэтому рекомендуется, чтобы администратор всегда был в курсе, когда контроллер надумает перейти в этот режим.

Уязвимость, поражающая компанию, контроллер, самостоятельно решающий, в каком режиме ему работать...

О чем же на самом деле говорится в новости?

Помимо «умных» устройств, о которых пишут много и настойчиво, вокруг нас работает огромное количество устройств, которые контролируют те или иные процессы и действуют в ответ на изменение контролируемых параметров. Это системы пожаротушения, программируемые станки на заводах, системы наведения боевых ракет и многое другое. В не столь далекие времена такие системы были аналоговыми и перепрограммировать их можно было лишь вручную, что мешало хакерам атаковать их, но постепенно аналоговые системы стали заменяться на цифровые. Все больше работ стало передаваться на аутсорсинг, что автоматически означало удаленный доступ к критически важным объектам, все чаще стал использоваться дистанционный контроль вместо прямого доступа к оборудованию.

Системами дистанционного контроля промышленной безопасности с 1 января 2020 года будут оснащаться опасные производственные объекты I и II классов опасности. По решению эксплуатирующих организаций системами дистанционного контроля могут оснащаться опасные производственные объекты III и IV классов опасности.

http://www.consultant.ru/law/hotdocs/52993.html

Об атаках на цифровые системы управления производством говорят в последнее время часто, но вот примеров подобных атак не так уж и много. Причина понятна – управление технологическим оборудованием требует специфических знаний, опыта программирования микроконтроллеров. А прибыли, скорее всего, не будет. Так что, как правило, речь о целевых атаках, которые выполняются под заказ, под специфическое оборудование. А поскольку целями таких атак служат достаточно важные производства – подробностей обычно «кот наплакал»: «В официальном заявлении Saudi Aramco указано, что компания не подвергалась кибератакам. В FireEye отказались прокомментировать сообщение о том, что объектом нападения была компьютерная система Saudi Aramco». Практически во всех презентациях в качестве примеров упоминаются атаки на металлургический завод в Германии, АЭС в Азии и нефтяную компанию в Саудовской Аравии.

Вот о последней как раз и была новость, приведенная в начале выпуска. Что же там произошло, если исходить из имеющихся данных?

В августе 2017 года вредоносное программное обеспечение (ПО) атаковало систему безопасности национальной нефтяной компании Саудовской Аравии Saudi Aramco.

Впервые информация об атаке на промышленный объект появилась на прошлой неделе в блоге фирмы FireEye, специализирующейся на информационной защите.

https://regnum.ru/news/2361333.html

Та самая группировка, которая «по всей видимости, не имеет к уязвимости никакого отношения». :-)

Интересно, что злоумышленники атаковали систему, отвечающую за предотвращение катастрофы на промышленном объекте:

По словам представителей FireEye, вредоносное ПО атаковало систему, известную как Triconex, которая производится немецкой фирмой Schneider Electric. Triconex используется по всему миру и отвечает за функцию аварийного отключения.

Triton попытался изменить один из контроллеров системы безопасности, в результате чего контроллер отключил не предусмотренный промышленный процесс.

https://regnum.ru/news/2361333.html

Вредоносная программа Trisis Industrial Control System (ICS) впервые была обнаружена группой разработчиков угроз Fireiant в Mandiant 14 декабря 2017 года после нападения на неизвестную организацию.

Вредоносная программа специально предназначалась для контроллеров Triconex Safety Instrumented System (SIS), изготовленных Schneider Electric, и из-за этого ее назвали Triton или Trisis.

https://copni.ru/trisis-ics-vredonosnoe-po-obnaruzhennoe-posle/

То есть кто-то использовал неизвестную уязвимость в контроллере, обеспечивающем безопасность. Она позволяла производить в том числе перепрограммирование контроллера, после чего он мог пропустить некую ситуацию, что, в свою очередь, вызвало бы аварию.

Отметим, что перепрограммирование производилось с рабочего компьютера. Это еще раз говорит о том, что безопасность технологических систем начинается на рабочих местах операторов. Анализ инцидента показал наличие неразрешенного сетевого соединения, а затем и запуск неразрешенного приложения.

Через некоторое время вредоносное ПО утекло в Интернет:

Вредоносная программа, используемая в результате атаки на системы промышленного контроля в декабре, была опубликована в Интернете.

https://copni.ru/trisis-ics-vredonosnoe-po-obnaruzhennoe-posle/

Но новых аналогичных атак не последовало.

Интересно, что новости об атаках одного и того же объекта в СМИ появляются несколько раз:

Новость от 21.03.2018

В августе 2016 г. неизвестные злоумышленники атаковали нефтеперерабатывающее предприятие в Саудовской Аравии, принадлежащее компании Saudi Aramco, сообщила New York Times.

Взрыва не случилось исключительно из-за ошибки во вредоносном коде. Как следствие, атакованная инфраструктура отключилась, а не перешла в опасный режим работы, который закончился бы ее разрушением.

http://safe.cnews.ru/news/top/2018-03-21_nefteperegonnyj_zavod_chut_ne_vzorvali_s_pomoshchyu

Новость от 23.12.2017

В августе 2017 года вредоносное программное обеспечение (ПО) атаковало систему безопасности национальной нефтяной компании Саудовской Аравии Saudi Aramco.

https://regnum.ru/news/2361333.html

Об одном ли событии или о разных говорится здесь?

#взлом #корпоративная_безопасность #удаленный_доступ #уязвимость

Dr.Web рекомендует

Защита систем управления очень сильно отличается от защиты обычных компьютеров. Во-первых, в большинстве случаев контроллеры и иное оборудование не обладают необходимыми ресурсами для установки антивируса. Но это – наименьшая из проблем.

Главное, что системы управления должны работать постоянно и гарантированно. Любая внешняя система вносит задержки. Какие задержки вызовет очередное обновление антивируса, заранее неизвестно. Поэтому непосредственно на оборудовании антивирусам, увы, не место. Его безопасность обеспечивается контролем неизменности состояния компонентов (что, конечно, не защищает от «закладок»).

Защищать можно станции операторов, с которых идут команды на контроллеры, – там антивирусное ПО поставить реально. Но существует риск ложного срабатывания. Представьте себе ситуацию, когда после обновления некая специфическая программа, неизвестная вендору, будет признана вирусом. Чтобы этого не происходило, заключаются специальные договоры о взаимном тестировании ПО и предварительном тестировании обновлений (такая функция имеется в корпоративных продуктах Dr.Web).

Однако не все безопасники приветствуют системы защиты, в результате чего в системы управления проникают вредоносные программы. И рано или поздно это приводит к появлению «синего экрана смерти» или требования о выкупе.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: