Часть 1 – Введение
Взлом SCADA-систем — одна из самых опасных форм кибератак на сегодняшний день. Эти системы контролируют промышленные процессы, критически важную инфраструктуру и производственные линии. Несмотря на свою важность, большинство SCADA-систем остаются слабо защищенными. Они часто работают на устаревшем программном обеспечении, используют стандартные конфигурации и не имеют даже базовой защиты.Специалисты IOActive и Embedi провели исследование безопасности приложений для SCADA-систем. Проанализировав случайно выбранные решения 34 различных производителей, эксперты пришли к выводу, что практически все рассмотренные приложения содержат уязвимости. Более того, многие из обнаруженных недостатков потенциально напрямую влияют на безопасность производственных процессов и могут привести к компрометации всей инфраструктуры предприятия.
В России ситуация ещё хуже. Значительная часть используемого программного обеспечения SCADA была разработана в начале 2010-х годов. Многие из этих систем не обновлялись с момента своего первого внедрения. Патчи недоступны, поставщики прекратили свою деятельность, а документация устарела или отсутствует. Поэтому злоумышленникам часто даже не нужно создавать новые эксплойты, они могут использовать старые общедоступные уязвимости, которые остаются неисправленными.
Использование устаревших операционных систем также широко распространено. SCADA-системы всё ещё работают на Windows XP или Windows 7, совершенно не отвечая современным требованиям безопасности. В случае плохой сегментации сети взлом одного компьютера может привести к полной компрометации SCADA-системы. В одной из следующих статей вы увидите, как SCADA-система способствовала компрометации всего домена из-за повторного использования учётных данных и устаревшего программного обеспечения.
Исследователи приходят к выводу, что ситуация в этом секторе только ухудшается: среднее количество уязвимостей на одно приложение увеличилось до 1,6.
Для своих тестов специалисты использовали различные методы, включая обратную разработку и фаззинг. В результате были выявлены следующие пять наиболее распространённых проблем:
- 94% приложений уязвимы к подмене кода
- 59% приложений имеют проблемы с безопасностью авторизации
- 53% приложений не имеют надежной обфускации и подвержены реверс-инжинирингу.
- 47% приложений хранят данные небезопасно
- 38% приложений имеют низкую безопасность связи.
На диаграмме выше представлены несколько секторов: автоматизация зданий, энергетика, машиностроение, производство, нефть и газ, биометрия и строительство. Зелёный цвет обозначает Россию, а серый — весь мир.
Очевидно, что некоторые отрасли в России испытывают более сильное воздействие по сравнению со средним мировым показателем. Важно отметить, что данные в отчёте отражают только публично раскрытые инциденты. Россия продолжает скрывать истинное число нарушений, активно используя стратегию безопасности через сокрытие информации. OTW неоднократно предупреждала о рисках такого подхода.
В первом квартале 2024 года вредоносные веб-ресурсы были заблокированы на 7,5% компьютеров АСУ в России. Значительная часть этих вредоносных ресурсов использовалась для распространения вредоносных скриптов и фишинговых страниц, которые были заблокированы на 4,6% компьютеров АСУ. Фишинг остаётся одним из наиболее распространённых методов первоначального проникновения в системы, используемых злоумышленниками, атакующими промышленные объекты.
«Успешная атака на автоматизированные системы управления может иметь серьёзные последствия: остановка производства, нарушение глобальной логистики и цепочек поставок, а также создание угрозы здоровью людей и окружающей среде», — прокомментировал Владимир Дащенко, эксперт Kaspersky ICS CERT. «Мы видим, что злоумышленники совершенствуют существующие тактики и методы атак на промышленные системы, а также используют новые виды вредоносной активности. К сожалению, люди остаются самым слабым звеном в кибербезопасности организации: мы часто видим, как сотрудники становятся жертвами фишинга, иногда узконаправленного, или намеренно нарушают политики кибербезопасности».
Аналитики кибербезопасности из Dragos опубликовали интересный отчёт об атаках на промышленные системы управления. В рамках своего исследования специалисты проанализировали более 500 000 различных атак на промышленные объекты и более 30 000 вредоносных файлов и инсталляторов, загруженных на VirusTotal с 2003 года.
В отчете Dragos показано, что большинство инцидентов, связанных с атаками на АСУ ТП, на самом деле являются случайными, когда типичное вредоносное ПО, не предназначенное для сред АСУ ТП, попадает в сеть организации.
Как правило, промышленные системы управления состоят из двух основных компонентов: оборудования SCADA, которое собирает данные с датчиков и управляет машинами, и программного обеспечения, позволяющего операторам управлять этим оборудованием. Вредоносное ПО, способное работать на реальном оборудовании SCADA, встречается крайне редко, основная опасность исходит от компьютеров, используемых для управления этими системами. И хотя одним из основополагающих правил кибербезопасности является полная изоляция систем SCADA и их управляющих компьютеров от интернета и любых других сетей, оно соблюдается не всегда.
Исследователи Dragos пишут, что отсутствие надлежащей сегментации сети позволяет распространённым вредоносным программам, таким как Sivis, Ramnit или Virut, проникать на устройства, управляющие оборудованием SCADA. Эти заражения происходят совершенно случайно, а не являются целенаправленными атаками «правительственных хакеров». По данным исследователей, более 3000 промышленных объектов уже пострадали от подобных случайных заражений.
Тем не менее, утверждение о полном отсутствии целевых атак на промышленные системы управления неверно. Нельзя забывать о таких угрозах, как Stuxnet, Havex или BlackEnergy2. Аналитики Dragos сообщают, что выявили десятки целевых атак на системы управления промышленными процессами. Один из самых интересных инцидентов относится к 2013 году, когда несколько предприятий обнаружили подозрительное программное обеспечение, предположительно разработанное для программируемых логических контроллеров (ПЛК) Siemens. Поначалу антивирусные продукты помечали эти файлы как ложные срабатывания, но позже они были распознаны как вредоносное ПО.
Исследователи Dragos обнаружили, что за последующие четыре года количество различных версий этих файлов, предположительно предназначенных для контроллеров Siemens, увеличилось в десять раз, причём резкое увеличение произошло в начале 2017 года. Оказалось, что неизвестные злоумышленники всё это время маскировали своё вредоносное ПО под прошивку Siemens, и это работало.
Для успешной атаки хакеру необходимо понимать физическую модель работы завода. Другими словами, технологический процесс: как производятся химикаты и какие агрегаты используются в этом процессе. На иллюстрации представлена схема технологического процесса производства винилацетата.
Такое понимание необходимо для эффективной атаки. Слепая попытка нарушить процесс, например, запустив процедуру перегрева в резервуаре, скорее всего, приведёт к срабатыванию аварийного отключения.
Однако злоумышленник стремится нанести предприятию более серьёзный ущерб, что требует более тонкого подхода. Например, он может немного изменить технологический процесс, чтобы на выходе получился не чистый химический продукт, а примеси. В качестве иллюстрации в таблице приведена стоимость килограмма чистого парацетамола (100%) и парацетамола с незначительными примесями (99%). Разница составляет 1,641, то есть даже один день саботажа может нанести предприятию серьёзный финансовый ущерб.
Помимо саботажа продукта, еще одним вектором атаки является повреждение оборудования путем его перегрузки (что продемонстрировал Stuxnet).
Успешная атака состоит из нескольких этапов, некоторые из которых могут осуществляться параллельно, в то время как другие требуют точного понимания технологического процесса — знаний, которых обычно не хватает ИТ-специалистам.
Системы SCADA критически важны для функционирования промышленной инфраструктуры, однако они остаются одним из самых слабо защищенных элементов цифрового ландшафта. В России эта проблема стоит особенно остро из-за устаревшего программного обеспечения, неисправленных уязвимостей и ставки на скрытность вместо прозрачности. Как случайные заражения, так и целевые атаки продолжают представлять реальную угрозу, а число инцидентов растет в ключевых секторах. Отсутствие надлежащей сегментации, небезопасные методы кодирования и недостаточная осведомленность операторов только усугубляют ситуацию. По мере того, как промышленные процессы становятся все более взаимосвязанными, контролировать риски становится все сложнее.
Во второй части мы рассмотрим взлом системы SCADA, управляющей водонапорными башнями.
