Распространенные техники устанавливают низкую планку для атак на процессы управления. Иногда злоумышленники даже не имеют представления о том, для чего используется система.
Число атак на процессы управления, такие как системы в промышленном окружении, растет, причем для компрометации используются простые нехитрые методы.
Во вторник команда киберкриминалистов Mandiant компании FireEye опубликовала отчет, в котором изучаются показатели атак на процессы управления, особенно те, которые используют операционные технологии (OT).
Если раньше атаки на процессы управления считались сложными из-за требований доступа, необходимости использования предназначенного для компрометации запатентованных промышленных технологий вредоносного ПО или самой задачи нарушить процесс управления для создания предсказуемого эффекта, то теперь уязвимые конечные точки ОТ, выходящие в интернет, предоставляют более широкий ландшафт для кибератак.
Специалисты Mandiant Кит Лунден, Даниэль Капельманн Зафра и Натан Брубейкер заявили, что участились попытки атак на ОТ с «низким уровнем сложности», и компания наблюдала, как хакеры с «разным уровнем квалификации и ресурсов» используют «обычные IT-инструменты и методы для получения доступа и взаимодействия с открытыми ОТ-системами».
Объектами атак стали сети панелей солнечных батарей, системы управления водоснабжением и системы автоматизации зданий, и хотя в список попали и объекты критической инфраструктуры, те же методы используются и против устройств Интернета вещей.
По словам исследователей, общая тенденция атак против систем ОТ, похоже, основана на попытках злоумышленников получить контроль над огромным количеством открытых конечных точек в «идеологических, эгоистических или финансовых целях», а не на желании нанести серьезный ущерб, например, захватить контроль над основным инфраструктурным активом.
За последние несколько лет исследователи наблюдали, как активы ОТ подвергаются атакам с помощью различных методов, включая компрометацию служб удаленного доступа и виртуальных сетевых вычислений.
Однако, «низко висящий плод», за которым охотятся злоумышленники, - это графические интерфейсы, включая человеко-машинные интерфейсы, которые по своей конструкции предназначены для управления сложными промышленными процессами с помощью простых пользовательских интерфейсов. В результате атакующие могут «изменять переменные управления без предварительного знания процессов», - сообщают Mandiant.
Еще одна тенденция - хактивизм, которому способствуют широко доступные и бесплатные учебные пособия в интернете. Недавно исследователи заметили, что хактивистские группы хвастались в антиизраильских/про-палестинских сообщениях в социальных сетях, что они взломали израильские OT-активы в возобновляемых и горнодобывающих секторах.
Другие низкоквалифицированные хакеры, похоже, нацелены на получение известности, но при этом мало знают о том, что они атакуют.
В двух отдельных случаях злоумышленники хвастались тем, что захватили немецкую систему управления железными дорогами, но она оказалась командной станцией для моделей поездов, а в другом случае группа заявила, что взломала израильскую «газовую» систему, но это была не более чем система вентиляции кухни в ресторане.
Однако, несмотря на эти промахи, успешные атаки на критически важные активы ОТ могут иметь серьезные последствия. В конце концов, достаточно вспомнить панические закупки и нехватку топлива по всей территории США, вызванные атакой шифровальщика на Colonial Pipeline.
«По мере увеличения количества вторжений возрастает и риск нарушения технологических процессов» - рассказывают исследователи. «Огласка этих инцидентов провоцирует новые кибероперации против ОТ и может побудить других атакующих все чаще нацеливаться на подобные системы. Это согласуется с ростом активности в сфере ОТ со стороны более финансово-мотивированных групп, например операторов шифровальщиков».
Исследователи рекомендуют, когда это возможно, удалять интерфейсы ОТ из публичных сетей. Укрепление сети, аудит безопасности, включая мониторинг устройств, должны проводиться на частой основе, а сами интерфейсы, наряду с другими активами, должны быть настроены для предотвращения потенциально опасных кондиций.
Риск компрометации ОТ не остался незамеченным федеральными агентствами. В июле Агентство национальной безопасности США и Агентство кибербезопасности и защиты инфраструктуры выпустили совместное предупреждение об атаках на критическую инфраструктуру через уязвимые ОТ.
Агентства заявили, что устаревшие устройства ОТ, возможность их подключения к интернету и современные методы кибератак создали «идеальный шторм».
Перевод сделан со статьи: https://www.zdnet.com
