W pierwszej trójce cyberzagrożeń znalazły się robaki, oprogramowanie szpiegujące oraz koparki kryptowaluty – wspólnie stanowiły zagrożenia wykryte na niemal 14% atakowanych komputerów. Te i inne dane przedstawiono w raporcie Kaspersky ICS CERT dotyczącym krajobrazu zagrożeń przemysłowych w pierwszej połowie 2019 r.
Cyberincydenty przemysłowe należą do najgroźniejszych, ponieważ mogą skutkować przestojem w produkcji oraz dotkliwymi stratami finansowymi, a przy tym dość trudno je zwalczać. Dotyczy to szczególnie przypadku, gdy incydent występuje w sektorach o znaczeniu krytycznym, takich jak energetyczny. Statystyki dotyczące pierwszej połowy 2019 r., automatycznie przetwarzane przez technologie bezpieczeństwa firmy Kaspersky, pokazują, że osoby odpowiedzialne za zarządzanie rozwiązaniami w sektorze energetycznym nie powinny tracić czujności. W badanym okresie produkty firmy Kaspersky wykryły zagrożenia łącznie na 41,6% komputerów ICS w sektorze energetycznym. Zablokowano również znaczną liczbę próbek konwencjonalnego szkodliwego oprogramowania – nieprzeznaczonego dla systemów przemysłowych.
Spośród zablokowanych szkodliwych programów największe zagrożenie stanowiły koparki kryptowaluty (2,9%), robaki (7,1%) oraz cały wachlarz wszechstronnego oprogramowania szpiegowskiego (3,7%). Infekcja takim szkodliwym oprogramowaniem może mieć negatywny wpływ na dostępność oraz integralność przemysłowych systemów sterowania oraz innych zasobów tworzących sieć przemysłową. Spośród wykrytych zagrożeń tego typu niektóre są szczególnie interesujące.
Jednym z nich jest AgentTesla, wyspecjalizowany trojan szpiegujący, stworzony w celu kradzieży danych uwierzytelniających, zrzutów ekranu oraz informacji przechwyconych z kamer internetowych oraz klawiatury. We wszystkich analizowanych przypadkach atakujący wysyłali dane za pośrednictwem zhakowanych skrzynek pocztowych w różnych firmach.
Oprócz szkodliwego oprogramowania produkty firmy Kaspersky zidentyfikowały i zablokowały ataki z udziałem backdoora Meterpreter wykorzystywanego w celu zdalnego kontrolowania komputerów w sieciach przemysłowych systemów energetycznych. Ta „tylna furtka” jest wykorzystywana do przeprowadzania zamaskowanych ataków na konkretne cele, nierzadko przy ręcznym nadzorze cyberprzestępców. Możliwość zdalnego i potajemnego kontrolowania zainfekowanych komputerów przemysłowych stanowi ogromne zagrożenie dla systemów tego rodzaju.
Na koniec warto wspomnieć, że rozwiązania firmy Kaspersky wykryły i zablokowały nowego robaka niszczącego dane (tzw. wiper) o nazwie Syswin, który został napisany w języku Python i spakowany do formatu wykonywalnego systemu Windows. Zagrożenie to może mieć znaczący wpływ na komputery, a nawet całe sieci przemysłowe, ze względu na możliwość automatycznego rozprzestrzeniania się oraz niszczenia danych.
Sektor energetyczny nie był jedynym celem szkodliwych programów oraz działań cyberprzestępców. Inne branże zbadane przez ekspertów z firmy Kaspersky również nie miały powodu, aby odetchnąć z ulgą. Pod względem odsetka komputerów przemysłowych, na których zablokowano szkodliwe obiekty, na drugim i trzecim miejscu znalazł się odpowiednio przemysł motoryzacyjny (39,3%) oraz automatyka budynków (37,8%).
Zgromadzone dane statystyczne, jak również analiza cyberzagrożeń przemysłowych to niezwykle przydatne narzędzia w ocenie obecnych trendów oraz przewidywaniu zagrożeń, na które należy się przygotować. Jak podkreślono w raporcie, eksperci ds. bezpieczeństwa powinni być szczególnie ostrożni w przypadku szkodliwego oprogramowania, którego celem jest kradzież danych, szpiegowanie obiektów o znaczeniu krytycznym, przenikanie do sieci oraz niszczenie danych. Wszystkie te rodzaje incydentów mogłyby spowodować mnóstwo problemów w branży – powiedział Kiryl Krugłow, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Porady bezpieczeństwa
Zespół Kaspersky ICS CERT zaleca stosowanie następujących środków technicznych w celu poprawy bezpieczeństwa informatycznych środowisk przemysłowych:
- Regularnie aktualizuj systemy operacyjne, oprogramowanie oraz rozwiązania zabezpieczające w systemach tworzących sieć przemysłową przedsiębiorstwa.
- Ogranicz ruch sieciowy na portach i protokołach wykorzystywanych na routerach brzegowych oraz w obrębie sieci OT organizacji.
- Kontroluj dostęp do komponentów ICS w sieci przemysłowej przedsiębiorstwa oraz na jej granicach.
- Organizuj regularne specjalistyczne szkolenia oraz wsparcie dla pracowników, jak również partnerów i dostawców mających dostęp do Twojej sieci OT/ICS.
- Wdróż wyspecjalizowane rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Industrial CyberSecurity, na serwerach ICS, stacjach roboczych oraz interfejsach HMI w celu zabezpieczenia infrastruktury OT oraz przemysłowej przed przypadkowymi cyberatakami oraz stosuj rozwiązania do monitorowania ruchu sieciowego, analizowania i wykrywania zagrożeń w celu zapewnienia lepszej ochrony przed atakami ukierunkowanymi.
Pełny raport wykorzystany w tej informacji prasowej jest dostępny na stronie https://r.kaspersky.pl/r2UZm.
Informacje o Kaspersky Lab ICS CERT
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny projekt uruchomiony przez Kaspersky Lab w 2016 r. w celu koordynacji działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych, jak również badaczy bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje się głównie na identyfikowaniu potencjalnych i istniejących zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. W swoim pierwszym roku działania zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów największych globalnych producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują rekomendacje dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami. Więcej informacji znajduje się na stronie ics-cert.kaspersky.com.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.