Первомай, Первомай! Ошибки безопасности в критической инфраструктуре могут подвергнуть риску миллионы людей
Большая часть нашей критически важной инфраструктуры, такой как химические заводы и электрические сети, контролируется устройствами, известными как промышленные системы управления или ICS. Многим из этих систем уже несколько десятков лет, и они страдают от уязвимостей кибербезопасности, которые могут подвергнуть риску миллионы людей.
Проблема уязвимостей ICS настолько важна для национальной безопасности США, что Министерство внутренней безопасности создало офис только для отслеживания дыр в безопасности этих систем — группу реагирования на кибер-аварийные ситуации ICS. (Это поверх недавно созданного Киберкомандования США.)
Недостатками безопасности АСУ интересуется не только DHS, но и такие охранные фирмы, как «Лаборатория Касперского». Фактически, «Лаборатория Касперского» только что выпустила отчет, в котором в прошлом году было обнаружено 189 уникальных уязвимостей в компонентах АСУ. «Лаборатория Касперского» выпускает этот ежегодный отчет об уязвимостях АСУ каждый год, начиная с 2010 года, когда было обнаружено всего 19 уязвимостей.
«Лаборатория Касперского» объяснила заметный рост уязвимостей за пятилетний период тем, что многие из этих устройств теперь подключены к Интернету, что дает злоумышленникам удаленный доступ к этим когда-то изолированным системам.
Используя поисковую систему Shodan, исследователи «Лаборатории Касперского» смогли найти 220 558 компонентов АСУ, подключенных к Интернету, расположенных на 188 019 хостах в 170 странах. Около трети этих хостов расположены в США и Европе. Исследователи подсчитали, что 92 процента этих хостов АСУ ТП уязвимы для кибератак.
Многие из этих удаленно доступных компонентов ICS используют открытые и небезопасные протоколы, такие как HTTP, Nigara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS и Siemens S7.
Отрасли, которые используют эти уязвимые устройства ICS для управления своими процессами, включают электроэнергетику, аэрокосмическую промышленность, транспорт, нефть и газ, металлургию, химию, сельское хозяйство, автомобилестроение, коммунальные услуги, производство продуктов питания, строительство, резервуары для хранения жидкостей и умные города.
Кроме того, владельцами уязвимых устройств АСУ являются больницы и другие медицинские учреждения, полиция, финансовые фирмы, а также колледжи и университеты.
Энергосистема Украины выходит из строя
В отчете подчеркивается, что эти уязвимости могут иметь серьезные последствия, если их используют злоумышленники. Например, в прошлом году злоумышленники вывели из строя энергосистему на западе Украины, воспользовавшись уязвимостями в устройствах АСУ ТП, которые использует энергетическая компания в этом регионе. Злоумышленники смогли вывести из строя 30 электроподстанций и отключить электроэнергию для 225 000 жителей, поясняется в отчете об инциденте, подготовленном Институтом SANS и другими группами.
«Злоумышленники продемонстрировали различные возможности, в том числе фишинговые электронные письма, варианты вредоносного ПО BlackEnergy3 и манипулирование документами Microsoft Office, содержащими вредоносное ПО, чтобы закрепиться в сетях информационных технологий (ИТ)», — поясняется в отчете.
«Они продемонстрировали способность закрепиться и собрать учетные данные и информацию для получения доступа к сети ICS. Кроме того, злоумышленники продемонстрировали опыт не только в сетевой инфраструктуре; таких как источники бесперебойного питания (ИБП), но и при эксплуатации АСУ ТП через систему диспетчерского управления; таких как человеко-машинный интерфейс (HMI)», — говорится в отчете.
Атака на энергосистему Украины была частью более масштабной кампании, нацеленной на энергетическую инфраструктуру, известной как кампания передовых постоянных угроз BlackEnergy.
Водная фирма имеет дырявую безопасность
Кроме того, Verizon в своем отчете Data Breach Digest за 2016 год описала атаку на неустановленную компанию по водоснабжению, которую она назвала Kemuri Water Company, в ходе которой злоумышленники смогли изменить уровни химических веществ, используемых для очистки водопроводной воды, используя уязвимости во внешней системе. который управлял клапанами и воздуховодами, контролирующими поток воды и химикатов через систему.
Несмотря на заявления руководства компании об отсутствии несанкционированного доступа к ее системам, Verizon обнаружила, что за предыдущие 60 дней происходили необъяснимые перемещения клапанов и воздуховодов. Движения были вызваны манипуляциями с программируемыми логическими контроллерами, которые управляли химическими веществами, используемыми для обработки питьевой воды.
По необъяснимым причинам компания использовала только одну систему, IBM AS400, для управления сотнями ПЛК и хранения личной и платежной информации клиентов, а также своей финансовой информации. И только один сотрудник знал, как управлять AS400!
Verizon обнаружила, что злоумышленники использовали клиентское платежное приложение, чтобы взломать платежную и биллинговую систему компании и украсть личную и финансовую информацию о 2,5 миллионах клиентов. Затем они использовали учетные данные платежного приложения для доступа к клапану и приложению системы управления.
Нарушение было «серьезным и могло быть более критическим. Если бы у злоумышленников было немного больше времени и немного больше знаний об ICS/SCADA [системе диспетчерского управления и сбора данных], KWC и местное сообщество могли бы понести серьезные последствия», — говорится в отчете.
«Многие проблемы, такие как устаревшие системы и отсутствующие исправления, способствовали утечке данных — отсутствие изоляции критически важных активов, слабые механизмы аутентификации и небезопасные методы защиты паролей также позволили злоумышленникам получить гораздо больше доступа, чем это должно было быть возможно», — говорится в сообщении. заключение доклада.
DHS предупреждает о дырах в системе безопасности
Проблема стала настолько серьезной, что офис DHS ICS-CERT начал регулярно выпускать рекомендации по уязвимостям ICS. Например, за неделю с 10 по 16 июля ICS-CERT разослал в общей сложности шесть рекомендаций по безопасности. В одном бюллетене DHS предупредило о системе управления камерами безопасности Schneider Electric с жестко запрограммированными учетными данными, которые могут позволить неискушенному злоумышленнику получить удаленный доступ к системе.
В другом информационном бюллетене ICS-CERT предупредил, что система управления датчиками интеллектуальной сети Tollgrade, используемая в распределении электроэнергии, имеет уязвимости, которые можно использовать удаленно. «Злоумышленник, который использует эти уязвимости, может перезапустить систему, взломать логин или изменить привилегированные параметры», — поясняется в бюллетене.
В другом бюллетене была обнаружена уязвимость системы безопасности в продукте GE Proficy HMI/SCADA-CIMPLICITY, клиент-серверном человеко-машинном интерфейсе/SCADA-приложении. Эксплойты для уязвимости, которые могут позволить злоумышленнику запустить исполняемый код в системе, находятся в открытом доступе, предупреждает бюллетень.
Как видно из этих отчетов и рекомендаций, наша критическая инфраструктура остается уязвимой для кибератак, подвергая риску не только сотрудников, но и миллионы клиентов.
К сожалению, тематическое исследование Verizon показывает, насколько невежественны некоторые из этих компаний, когда дело доходит до базовой кибербезопасности. Будем надеяться, что более важные инфраструктурные компании и агентства осознают риски, с которыми они сталкиваются со стороны кибератак, и предпримут шаги для защиты своих систем. Невыполнение этого требования может привести к катастрофическим последствиям.