Энергетика у злоумышленников в фаворе

Подавляющее большинство зафиксированных угроз, как отметили в "Лаборатории Касперского", не были разработаны специально для системы автоматизации объектов энергетики. "Тем не менее, как показывает практический опыт и исследования экспертов Kaspersky ICS CERT, многие типы заблокированного вредоносного ПО, даже если их влияние на работу IT-систем незначительно, могут вызывать проблемы доступности и целостности систем автоматизации внутри технологического контура, - указали в "Лаборатории Касперского". - Так, майнеры - заблокированы на 2,9% компьютеров АСУ, - относительно безвредные в офисной сети, в процессе своей работы и распространения могут приводить к отказу в обслуживании некоторых компонентов АСУ ТП".

Вредоносные черви, которые были заблокированы на 7,1% компьютеров АСУ, как указали в "Лаборатории Касперского", представляют большую опасность для IT-систем, но последствия их действий в технологической сети могут быть более значительными. "Например, заблокированный на многих компьютерах АСУ в энергетике Syswin самостоятельно распространяется через сетевые папки и съемные носители, уничтожая данные на зараженном устройстве. В ряде случаев это способно не только вызвать отказ в обслуживании систем мониторинга и телеуправления, но и привести к аварийной ситуации", - рассказали в "Лаборатории Касперского".

В компании также отметили, что на 3,7% компьютеров АСУ были заблокированы многофункциональные программы-шпионы. "Как правило, они способны не только похищать конфиденциальную информацию, загружать и выполнять другое вредоносное ПО, но и предоставлять злоумышленникам возможность несанкционированного удаленного управления зараженным устройством", - проинформировали в "Лаборатории Касперского" и добавили, что на многих компьютерах в энергетике также был зафиксирован опасный троянец-шпион AgentTesla, который часто используется во вредоносных кампаниях, в том числе нацеленных на предприятия интересующих злоумышленников индустрий.

"Помимо этого, продукты "Лаборатории Касперского" неоднократно блокировали, возможно, еще более опасное ПО - бэкдор Meterpreter, который обладает обширными возможностями организации скрытного удаленного сбора данных и управления. Этим инструментом пользуются эксперты при проведении тестов на проникновение и многие злоумышленники при реализации целенаправленных атак. Meterpreter не оставляет следов на жестком диске, из-за чего атака может оставаться незамеченной, если компьютер не защищен современным защитным решением", - рассказали в "Лаборатории Касперского".

Эксперт центра информационной безопасности компании "Инфосистемы Джет" Валерия Суворова, говоря о ситуации с атаками на энергетический сектор в России, заметила, что энергетическим предприятиям стоит уделять сегодня повышенное внимание вопросам кибербезопасности. "Ведь по статистике количество атак на энергетику значительно выше, чем на другие отрасли промышленности, что справедливо как для России, так и для других стран. При этом именно в энергетике используется наибольшее количество уязвимых продуктов, что говорит о высокой подверженности данного сектора кибератакам. Тенденция к увеличению процессов автоматизации и повсеместное внедрение устройств интернета вещей в промышленности способствуют увеличению вероятности проведения атак на весь промышленный сектор, включая энергетику", - отметила Валерия Суворова.

По мнению менеджера отдела продвижения продуктов компании "Код безопасности" Ильи Репкина, проблема атак на энергетическую отрасль также является острой и актуальной.

Улучшается или ухудшается сегодня ситуация с атаками на энергетический сектор России, по мнению руководителя отдела аналитики информационной безопасности Positive Technologies Евгения Гнедина, сказать сегодня сложно. "Потому что наша практика показывает, что многие компании были атакованы уже несколько лет назад и злоумышленники контролируют их серверы все это время до сих пор. В одной из компаний злоумышленники полностью контролировали все системы более восьми лет, а после устранения каналов управления пытались вернуть в инфраструктуру заново", - рассказал Евгений Гнедин.

Положительную тенденцию, по его словам, в Positive Technologies видят в том, что компании действительно осознали значимость угрозы со стороны киберпространства, начали проводить анализ своей инфраструктуры для выявления таких скрытых угроз. "Мы называем это ретроспективным анализом. Выявив присутствие нарушителя в своих системах, компании предпринимают все возможные усилия для устранения каналов утечки и пресечения подобных инцидентов в будущем", - проинформировал Евгений Гнедин.

Что касается будущих атак на энергетический сектор в 2019-2020 гг., руководитель Kaspersky ICS CERT Евгений Гончаров заметил, что обычно во втором полугодии всегда наблюдается некоторый спад процента атакованных компьютеров - практически во всех странах и индустриях. "Объяснение, возможно, очень простое: на второе полугодие в большинстве стран приходится больше отпусков: два летних месяца, июль и август, и декабрь. Чем меньше сотрудников на предприятии, тем меньше "заразы" они заносят своими неосторожными действиями. Злоумышленникам тоже надо когда-то отдыхать от своего "труда", - заметил Евгений Гончаров.

По мнению Евгения Гнедина, компании из сферы энергетики всегда будут под прицелом киберпреступников ввиду высокой значимости таких организаций. "Последствия от остановки энергетического объекта могут затронуть одновременно множество других отраслей. Например, в случае прекращения подачи электроэнергии в отдельном районе или целом городе. И, конечно же, вызвать широкий общественный резонанс", - указал Евгений Гнедин.

Он также отметил, что в организациях энергетического комплекса сетевая инфраструктура поделена на корпоративный и технологический сегменты. "Если рассматривать корпоративный сегмент инфраструктуры, то для него характерны все те же киберугрозы, что и для любой другой компании, - фишинг, шифровальщики, майнеры криптовалют, шпионаж. Преступники могут заразить сети компании шифровальщиком и требовать выкуп за расшифровку файлов. В случае энергетики такие атаки чреваты существенными финансовыми потерями из-за простоя бизнес-процессов", - обратил внимание Евгений Гнедин, добавив, что вредоносное ПО в случае заражения корпоративной сети может проникать и в технологический сегмент.

"Это происходит из-за ошибок сегментации сетей, которые мы выявляем в 45% промышленных и энергетических компаний. Но наибольшую угрозу несут целенаправленные атаки профессиональных кибергруппировок. И главная их цель - шпионаж и получение контроля над промышленным оборудованием. Но есть и финансово мотивированные хакеры, которые, к примеру, могут попытаться подделать платежки и перевести большие суммы денег вместо подрядчика организации на свои собственные счета", - указал Евгений Гнедин.

По мнению Ильи Репкина, современные атаки имеют тенденцию роста по уровню финансирования и организации. "Особенно, когда речь идет об атаках на объекты промышленных отраслей. С практической точки зрения наиболее правильным подходом является не ориентация на конкретные прогнозируемые виды атак, а проведение полного аудита информационной безопасности, разработка индивидуальной для конкретного объекта модели угроз и дальнейшее проектирование комплексной системы защиты. Такой подход позволит повысить общий уровень защищенности системы", - отметил Илья Репкин.

На взгляд Евгения Гончарова, если геополитическая ситуация не изменится кардинально, то существенных изменений в ландшафте атак на компании энергетического сектора в России в 2019-2020 гг. видно не будет и его современный вид сохранится. "Случайные заражения будут, безусловно, абсолютным большинством случаев. Из наиболее опасных наверняка будут атаки с целью получения выкупа - ransomware. Из наиболее логичных - майнинг криптовалюты. Целенаправленные атаки если и случатся, то вряд ли с целью диверсии, максимум - для закрепления присутствия ("на всякий случай"), шпионажа или кражи денег", - отметил Евгений Гончаров.

Он также добавил, что, возможно, увеличится количество попыток мошенничества. "Например, использование кибертехнических средств для фальсификации показателей счетчиков потребления электричества - модификация прошивки и т.д. Останутся инциденты с участием внутреннего нарушителя - отрасль огромная, от нечистых на руку людей избавиться полностью невозможно, да и недовольные и обиженные есть везде и всегда. Возможны случаи, когда к использованию киберсредств будут прибегать и обычные "не кибер" преступники. Очень надеюсь, что не случится очередных WannaCry/ExPetr", - сказал Евгений Гончаров.