В среднем два компьютера из пяти, связанных с технологической инфраструктурой промышленных предприятий, подверглись кибератакам во второй половине 2016 года. Доля атакуемых промышленных компьютеров увеличилась с 17% в июле 2016 года до 24% с лишним в декабре 2016 года, причем тремя основными источниками заражения были интернет, съемные носители и электронные письма с вложениями, содержащими вредоносное ПО.
По мере того, как технологии и корпоративные сети промышленных предприятий становятся все более интегрированными, все больше киберпреступников рассматривают промышленные предприятия как потенциальные мишени. Пользуясь уязвимостями в сетях и ПО, используемых предприятиями, злоумышленники могут украсть информацию, связанную с производственным процессом, или даже расстроить производственные операции, вызвав техногенную катастрофу.
Чтобы узнать, насколько широко распространена угроза, специалисты Kaspersky Lab ICS CERT провели специальные исследования киберугроз, с которыми сталкиваются системы ICS. Они обнаружили, что во второй половине 2016 года загрузки вредоносных программ и доступ к фишинговым веб-страницам были заблокированы более чем на 22% промышленных компьютеров. Это значит, что почти каждый пятый компьютер хотя бы раз сталкивался с риском заражения или взлома учетных данных через интернет.
Настольные компьютеры инженеров и операторов, работающих непосредственно с ICS, как правило, не имеют прямого доступа в интернет из-за ограничений технологической сети, в которой они расположены. Однако есть и другие пользователи, которые имеют доступ одновременно в интернет и ICS. Согласно исследованиям «Лаборатории Касперского», эти компьютеры, предположительно используемые системными и сетевыми администраторами, разработчиками и интеграторами систем промышленной автоматизации, а также сторонними подрядчиками, которые подключаются к технологическим сетям напрямую или удаленно, могут свободно подключаться к интернету, т.к. не привязаны к какой-то одной промышленной сети с присущими ей ограничениями.
Интернет — не единственный источник угроз для систем ICS. Исследователями компании была обнаружена также опасность заражения съемных носителей. За период исследования на 10,9% компьютеров с установленным ПО ICS (или подключенных к тем, на которых установлено это ПО) были обнаружены следы вредоносов при подключении к ним съемного устройства.
Вложенные в электронную почту файлы и скрипты, содержащие вредоносное ПО, были заблокированы на 8,1% промышленных компьютеров, заняв третье место в рейтинге угроз. В большинстве случаев злоумышленники используют фишинговые электронные письма, чтобы привлечь внимание пользователя и замаскировать вредоносные файлы. Вредоносные программы чаще всего распространялись в формате таких офисных документов, как MS Office и PDF-файлы. С помощью различных методов преступники следили за тем, чтобы люди загружали и запускали вредоносное ПО на компьютерах промышленной организации.
Согласно исследованию «Лаборатории Касперского», вредоносное ПО, представляющее серьезную угрозу для компаний во всем мире, опасно и для промышленных предприятий. Сюда входят программы-шпионы, пути обхода системы защиты, клавиатурные шпионы, финансовые вредоносные программы, вымогатели и программы для бесследного стирания следов работы с приложениями и доступа к файлам. Они могут полностью парализовать контроль организации над ICS или могут использоваться для целевых атак. Последнее возможно благодаря функциям, которые предоставляют злоумышленнику множество вариантов удаленного управления.
«Усиление киберугроз для ключевой инфраструктуры указывает на то, что ICS должна быть надлежащим образом защищена от вредоносных программ — как внутри, так и за пределами периметра. Важно также отметить, что, по нашим наблюдениям, атаки почти всегда начинаются с самого слабого звена в любой защите — с людей», — рассказал Евгений Гончаров, начальник отдела защиты ключевой инфраструктуры в «Лаборатории Касперского».
Каждая четвертая целевая атака, обнаруженная «Лабораторией Касперского» в 2016 году, была направлена против промышленных предприятий. Было обнаружено около 20 000 различных видов вредоносных программ в системах промышленной автоматизации более чем из 2000 различных семейств вредоносных программ. В 2016 году «Лаборатория Касперского» обнаружила 75 уязвимостей, 58 из них были названы уязвимостями высшей степени критичности. В первую тройку стран по зараженным промышленным компьютерам входят Вьетнам (более 66%), Алжир (более 65%) и Марокко (60%).