Интерфакс-Украина
18:35 15.06.2017

Новое вредоносное ПО для промсистем опасно не только для энергетики, и не только в США

4 мин читать
Новое вредоносное ПО для промсистем опасно не только для энергетики, и не только в США

Новое вредоносное программное обеспечение для атаки на автоматизированные системы управления технологическими процессами (АСУ ТП), выявленное на прошедшей неделе словацкой Eset и американской Dragos, представляет угрозу не только для энергетической отрасли, и не только в США, заявил "Интерфаксу" руководитель отдела безопасности промышленных систем управления российской Positive Technologies Владимир Назаров.

"Данное ПО сейчас нацелено на объекты электроэнергетики, но так как в нем используется модульная архитектура, которую хакеры могут модифицировать в зависимости от поставленных задач, оно может быть расширено и применено для атак в других отраслях. Перечень поддерживаемых протоколов совпадает с используемыми в электроэнергетике, но, в принципе, возможно, что данное ПО сможет нанести урон и другим областям - например, нефтяной", - сказал В.Назаров.

При этом В.Назаров отметил, что новое вирусное ПО является логическим продолжением предыдущих поколений вредоносного софта, включая Stuxnet (использовался для нарушения работы на иранских ядерных объектах - ИФ). По его словам, новый вирус можно сравнить с комбайном, который поддерживает множество промышленных протоколов и может выполнять много атак.

Как сообщалось, Eset выявила новое вредоносное ПО в конце прошлой недели - вирус получил название Industroyer. Dragos, в свою очередь, смогла на основании данных Eset выявить и изучить вирус (получил название Crashoverride - ИФ), а затем и первой публично сообщить результаты своего исследования. При этом она в своих сообщениях акцентировала внимание на угрозе нового вируса прежде всего для энергетических компаний США.

По оценке Eset, подобное вредоносное ПО могло послужить причиной сбоя энергоснабжения в Киеве в декабре 2016 года. Dragos согласна с этой оценкой и при этом полагает, что прошлогодний инцидент был организован российской кибергруппировкой Sandworm. Также Dragos считает, что оператором Crashoverride является группа Electrum, непосредственно связанная с Sandworm. Версия этой компании получила широкое распространение в западных СМИ.

По данным компаний, вирус имеет модульную структуру. В его составе основной и дополнительный бэкдоры, четыре модуля для работы с промышленными протоколами связи, стиратель данных и DoS-инструмент для атак типа "отказ в обслуживании". Industroyer/Crashoverride может управлять переключателями трансформаторных подстанций и рубильниками, позволяя атакующим просто отключить подачу электроэнергии или повредить оборудование.

"Протоколы, атакуемые данным ПО, широко используются в устройствах, выпускаемых промышленностью и используемых на предприятиях, - сказал В.Назаров. - Стоит отметить, что данные протоколы разрабатывались давно и практически не имеют механизмов защиты и поэтому скомпоновать модули поддержки этих протоколов с целью создания нового единого инструмента проведения атаки на широкий спектр оборудования - это новый шаг со стороны злоумышленников".

По оценке В.Назарова, для защиты от нового вируса достаточно стандартных мер защиты: антивирус с обновленными базами. "Но при этом необходимо понимать, что основа реагирования на сложные атаки в сфере АСУ ТП - это большая, заблаговременно проведенная подготовительная работа, - подчеркнул эксперт. - Например, по созданию на предприятии системы управления инцидентами кибербезопасности АСУ ТП".

Также В.Назаров отметил, что вредоносное ПО в основном работает с протоколами, но его функционал предусматривает и прямое использование уязвимостей в компонентах АСУ ТП. "Естественно, закрытие этих уязвимостей вендорами спасет ситуацию, но на реальных объектах поддержание актуальных версий прошивок на оборудовании - это очень сложный процесс, и, как правило, действующие объекты отстают по версионности", - добавил В.Назаров.

По итогам прошлого года число опубликованных уязвимостей в АСУ ТП в мире сократилось почти в два раза, до 115 единиц с 212 в 2015 году (данные исследования Positive Technologies). Большая часть уязвимостей в распространенных продуктах была устранена производителями.

Наибольшее число выявленных уязвимостей приходится на продукты компаний Siemens (37), Advantech (19), Schneider Electric (18). По оценке исследователей, количество опубликованных уязвимостей напрямую зависит от распространенности продукта и от того, придерживается ли производитель политики ответственного разглашения.

По данным Positive Technologies, по итогам прошлого года в мире было выявлено 169 тыс. компонентов АСУ ТП, доступных через интернет. Большая часть подключенных к интернету промышленных систем приходится на США (31%), Германию (8%) и Китай (5%). В 2016 году Россия заняла 31-е место с 591 компонентом АСУ ТП (менее 1% от общего числа доступных в сети интернет компонентов).

ЕЩЕ ПО ТЕМЕ:

ПОСЛЕДНЕЕ

Министр финансов Украины оценивает дефицит финансирования на 2026г в EUR16 млрд

Украина получит от Японии более $246 млн

Министры финансов G7 обсудили варианты усиления давления на РФ

Экс-глава Гостуризма Олеськив: ЕС усиливает доверие к туристическому рынку, защищая потребителей и бизнес, а Украина до сих пор стоит на месте

Госгеонедра назначили на 11 декабря аукцион на 4 углеводородных участка по цене в 0,5 млрд грн

Объем поставок LNG из США "Нафтогазом" и ORLEN достиг 400 млн куб. м

Решение суда ЕС отменяет госфинансирование проекта АЭС "Пакш-2" в Венгрии, но не запрещает стройку - ЕК

Банки со времени подписания меморандума в июне-24 выдали энергокредитов на 1,4 ГВт

"Метинвест" завершил I полугодие с убытком $58 млн, EBITDA снизилась на 49%

Украина откроет счет в НБУ для аккумуляции взноса в бюджет ЕС, однако просит отсрочить некоторые нормы

РЕКЛАМА
РЕКЛАМА

UKR.NET- новини з усієї України

РЕКЛАМА