Новое вредоносное ПО для промсистем опасно не только для энергетики, и не только в США

Новое вредоносное программное обеспечение для атаки на автоматизированные системы управления технологическими процессами (АСУ ТП), выявленное на прошедшей неделе словацкой Eset и американской Dragos, представляет угрозу не только для энергетической отрасли, и не только в США, заявил "Интерфаксу" руководитель отдела безопасности промышленных систем управления российской Positive Technologies Владимир Назаров.

"Данное ПО сейчас нацелено на объекты электроэнергетики, но так как в нем используется модульная архитектура, которую хакеры могут модифицировать в зависимости от поставленных задач, оно может быть расширено и применено для атак в других отраслях. Перечень поддерживаемых протоколов совпадает с используемыми в электроэнергетике, но, в принципе, возможно, что данное ПО сможет нанести урон и другим областям - например, нефтяной", - сказал В.Назаров.

При этом В.Назаров отметил, что новое вирусное ПО является логическим продолжением предыдущих поколений вредоносного софта, включая Stuxnet (использовался для нарушения работы на иранских ядерных объектах - ИФ). По его словам, новый вирус можно сравнить с комбайном, который поддерживает множество промышленных протоколов и может выполнять много атак.

Как сообщалось, Eset выявила новое вредоносное ПО в конце прошлой недели - вирус получил название Industroyer. Dragos, в свою очередь, смогла на основании данных Eset выявить и изучить вирус (получил название Crashoverride - ИФ), а затем и первой публично сообщить результаты своего исследования. При этом она в своих сообщениях акцентировала внимание на угрозе нового вируса прежде всего для энергетических компаний США.

По оценке Eset, подобное вредоносное ПО могло послужить причиной сбоя энергоснабжения в Киеве в декабре 2016 года. Dragos согласна с этой оценкой и при этом полагает, что прошлогодний инцидент был организован российской кибергруппировкой Sandworm. Также Dragos считает, что оператором Crashoverride является группа Electrum, непосредственно связанная с Sandworm. Версия этой компании получила широкое распространение в западных СМИ.

По данным компаний, вирус имеет модульную структуру. В его составе основной и дополнительный бэкдоры, четыре модуля для работы с промышленными протоколами связи, стиратель данных и DoS-инструмент для атак типа "отказ в обслуживании". Industroyer/Crashoverride может управлять переключателями трансформаторных подстанций и рубильниками, позволяя атакующим просто отключить подачу электроэнергии или повредить оборудование.

"Протоколы, атакуемые данным ПО, широко используются в устройствах, выпускаемых промышленностью и используемых на предприятиях, - сказал В.Назаров. - Стоит отметить, что данные протоколы разрабатывались давно и практически не имеют механизмов защиты и поэтому скомпоновать модули поддержки этих протоколов с целью создания нового единого инструмента проведения атаки на широкий спектр оборудования - это новый шаг со стороны злоумышленников".

По оценке В.Назарова, для защиты от нового вируса достаточно стандартных мер защиты: антивирус с обновленными базами. "Но при этом необходимо понимать, что основа реагирования на сложные атаки в сфере АСУ ТП - это большая, заблаговременно проведенная подготовительная работа, - подчеркнул эксперт. - Например, по созданию на предприятии системы управления инцидентами кибербезопасности АСУ ТП".

Также В.Назаров отметил, что вредоносное ПО в основном работает с протоколами, но его функционал предусматривает и прямое использование уязвимостей в компонентах АСУ ТП. "Естественно, закрытие этих уязвимостей вендорами спасет ситуацию, но на реальных объектах поддержание актуальных версий прошивок на оборудовании - это очень сложный процесс, и, как правило, действующие объекты отстают по версионности", - добавил В.Назаров.

По итогам прошлого года число опубликованных уязвимостей в АСУ ТП в мире сократилось почти в два раза, до 115 единиц с 212 в 2015 году (данные исследования Positive Technologies). Большая часть уязвимостей в распространенных продуктах была устранена производителями.

Наибольшее число выявленных уязвимостей приходится на продукты компаний Siemens (37), Advantech (19), Schneider Electric (18). По оценке исследователей, количество опубликованных уязвимостей напрямую зависит от распространенности продукта и от того, придерживается ли производитель политики ответственного разглашения.

По данным Positive Technologies, по итогам прошлого года в мире было выявлено 169 тыс. компонентов АСУ ТП, доступных через интернет. Большая часть подключенных к интернету промышленных систем приходится на США (31%), Германию (8%) и Китай (5%). В 2016 году Россия заняла 31-е место с 591 компонентом АСУ ТП (менее 1% от общего числа доступных в сети интернет компонентов).