Краткий обзор событий за апрель 2017 года в мире ИБ АСУ ТП

Когда постоянно валится поток сообщений об уязвимостях в программном и аппаратном обеспечении, когда в каждой второй новости появляется информация об утечке данных или хакерской атаке на известную компанию, а на каждой ИБ-конференции из раза в раз твердят о необходимости внедрения современных, комплексных, универсальных средств защиты, хочется отдалиться от всей этой суеты, расслабиться, отдохнуть и погрузиться в размеренную, спокойную тематику информационной безопасности АСУ ТП. Давайте же легко и непринужденно ознакомимся с событиями из мира КБ АСУ ТП за апрель 2017.

Статьи, исследования и аналитика

Организацией ICS-CERT был опубликован годовой отчет(eng) о проделанной работе и методах работы внутренних подразделений. В этот отчет также вошли мероприятия, связанные с исследованием атак на объекты электроэнергетической инфраструктуры Украины 2015-2016 годов. Вообще, эти атаки на Западе вызвали большой интерес со стороны ИБ-сообщества, о чем говорят многочисленные вебинары и доклады на эту тему. Пожалуй, самым интересным в отчете является статистика об инцидентах и уязвимостях за 2014-2016 года. По данным ICS-CERT число сообщений об уязвимостях с 2014 года только увеличивается, когда число сообщений об инцидентах , напротив, снизилось на 33% по сравнению с 2015 годом.

NCCIC/ICS-CERT CY Metrics

2014

2015

2016

ICS Incident Reports - Tickets

232

303

222

ICS Related Vulnerability Reports - Tickets

167

177

257


Компания «Перспективный мониторинг» представила отчет собственного Центра мониторинга ИБ за первый квартал 2017 года. В течении первых трех месяцев было зафиксировано более 137 миллионов событий информационной безопасности и выявлено 98 инцидентов. В отчете говориться, что с 2016 года отмечается рост числа сканирований информационных ресурсов и попыток подбора паролей. А большая часть инцидентов происходит из-за вредоносного ПО. Кроме того, в отчете приведена интересная статистика, но за эти 3 месяца мониторинга была зафиксирована вредоносная активность в одной крупной компании. Что в последствии повлияло на общую картину статистики по инцидентам. Потому, можно сделать вывод, что полностью полагаться на приведенную статистику не рационально.

В вышедшем выпуске журнала «Connect» большое внимание уделяется теме промышленного интернета вещей (IIoT). А конкретнее, протоколам передачи информации, используемым в сетях промышленного сегмента. Согласно исследованию НИИТС, наиболее перспективными технологиями связи для IoT, являются NB-IoT, LTE-M, Wi-Fi HaLow и NFC. В настоящий момент повсеместно распространенным представителем IoT является трекинг коммерческого транспорта. В котором используются технологии GPS/ГЛОНАСС для отслеживания транспортных средств.

Уязвимости и атаки

Уже во второй раз был представлен (новость) POC-код вредоносного ПО, относящегося к классу вымогателей. Он получил имя ClearEnergy (по-видимому, с намеком на BlackEnergy в части специализации на индустриальных системах). Этот код обладает функционалом для удаления проектов в ПЛК следующих производителей: Schneider Electric, General Electric и Allen-Bradley. В принципах работы этот вымогатель схож с представленным в феврале POC-кодом вымогательского ПО (новость).

Две бреши были обнаружены (новость), на этот раз, в оборудовании производителя Schneider Electric. Первая уязвимость заключается в наличии в ПЛК Modicon M221 с прошивкой версии 1.3.3.3 неизменяемого ключа шифрования. Это ключ используется в модуле, предназначенном для предотвращения неавторизованного доступа к проекту, зашитому в ПЛК. Вторая уязвимость связана с возможностью получения пароля от ПЛК, что в конечном счете позволяет злоумышленнику менять проект по-своему усмотрению. Schneider Electric признала наличие уязвимостей в своем продукте и выпустила соответствующие патчи и рекомендации по снижению рисков от обнаруженных уязвимостей.