Производство под атакой
chorshanba, 25-aprel, 2018
Бывают новости, про которые можно сказать, что они «делают этот день». Сообщение, размещенное на сайте не самой последней компании в мире ИТ, как раз из таких:
Уязвимость «нулевого дня» найдена в контроллерах подсистемы безопасности автоматизированной системы управления технологическими процессами (АСУ ТП) производства Schneider Electric. По некоторым данным, она уже поразила производственную компанию в Саудовской Аравии.
Об инциденте с удовольствием рассказали группировки «Драконов» (Dragos) и «Огненного глаза» (FireEye), но, по всей видимости, они не имеют к уязвимости никакого отношения. Она разработана в Иране, у которого с Саудовской Аравией давние религиозные споры.
... Вендор заявляет, что уязвимость проявляет себя, когда контроллер находится в программируемом режиме. Поэтому рекомендуется, чтобы администратор всегда был в курсе, когда контроллер надумает перейти в этот режим.
Уязвимость, поражающая компанию, контроллер, самостоятельно решающий, в каком режиме ему работать...
О чем же на самом деле говорится в новости?
Помимо «умных» устройств, о которых пишут много и настойчиво, вокруг нас работает огромное количество устройств, которые контролируют те или иные процессы и действуют в ответ на изменение контролируемых параметров. Это системы пожаротушения, программируемые станки на заводах, системы наведения боевых ракет и многое другое. В не столь далекие времена такие системы были аналоговыми и перепрограммировать их можно было лишь вручную, что мешало хакерам атаковать их, но постепенно аналоговые системы стали заменяться на цифровые. Все больше работ стало передаваться на аутсорсинг, что автоматически означало удаленный доступ к критически важным объектам, все чаще стал использоваться дистанционный контроль вместо прямого доступа к оборудованию.
Системами дистанционного контроля промышленной безопасности с 1 января 2020 года будут оснащаться опасные производственные объекты I и II классов опасности. По решению эксплуатирующих организаций системами дистанционного контроля могут оснащаться опасные производственные объекты III и IV классов опасности.
Об атаках на цифровые системы управления производством говорят в последнее время часто, но вот примеров подобных атак не так уж и много. Причина понятна – управление технологическим оборудованием требует специфических знаний, опыта программирования микроконтроллеров. А прибыли, скорее всего, не будет. Так что, как правило, речь о целевых атаках, которые выполняются под заказ, под специфическое оборудование. А поскольку целями таких атак служат достаточно важные производства – подробностей обычно «кот наплакал»: «В официальном заявлении Saudi Aramco указано, что компания не подвергалась кибератакам. В FireEye отказались прокомментировать сообщение о том, что объектом нападения была компьютерная система Saudi Aramco». Практически во всех презентациях в качестве примеров упоминаются атаки на металлургический завод в Германии, АЭС в Азии и нефтяную компанию в Саудовской Аравии.
Вот о последней как раз и была новость, приведенная в начале выпуска. Что же там произошло, если исходить из имеющихся данных?
В августе 2017 года вредоносное программное обеспечение (ПО) атаковало систему безопасности национальной нефтяной компании Саудовской Аравии Saudi Aramco.
Впервые информация об атаке на промышленный объект появилась на прошлой неделе в блоге фирмы FireEye, специализирующейся на информационной защите.
Та самая группировка, которая «по всей видимости, не имеет к уязвимости никакого отношения». :-)
Интересно, что злоумышленники атаковали систему, отвечающую за предотвращение катастрофы на промышленном объекте:
По словам представителей FireEye, вредоносное ПО атаковало систему, известную как Triconex, которая производится немецкой фирмой Schneider Electric. Triconex используется по всему миру и отвечает за функцию аварийного отключения.
Triton попытался изменить один из контроллеров системы безопасности, в результате чего контроллер отключил не предусмотренный промышленный процесс.
https://regnum.ru/news/2361333.html
Вредоносная программа Trisis Industrial Control System (ICS) впервые была обнаружена группой разработчиков угроз Fireiant в Mandiant 14 декабря 2017 года после нападения на неизвестную организацию.
Вредоносная программа специально предназначалась для контроллеров Triconex Safety Instrumented System (SIS), изготовленных Schneider Electric, и из-за этого ее назвали Triton или Trisis.
https://copni.ru/trisis-ics-vredonosnoe-po-obnaruzhennoe-posle/
То есть кто-то использовал неизвестную уязвимость в контроллере, обеспечивающем безопасность. Она позволяла производить в том числе перепрограммирование контроллера, после чего он мог пропустить некую ситуацию, что, в свою очередь, вызвало бы аварию.
Отметим, что перепрограммирование производилось с рабочего компьютера. Это еще раз говорит о том, что безопасность технологических систем начинается на рабочих местах операторов. Анализ инцидента показал наличие неразрешенного сетевого соединения, а затем и запуск неразрешенного приложения.
Через некоторое время вредоносное ПО утекло в Интернет:
Вредоносная программа, используемая в результате атаки на системы промышленного контроля в декабре, была опубликована в Интернете.
https://copni.ru/trisis-ics-vredonosnoe-po-obnaruzhennoe-posle/
Но новых аналогичных атак не последовало.
Интересно, что новости об атаках одного и того же объекта в СМИ появляются несколько раз:
Новость от 21.03.2018
В августе 2016 г. неизвестные злоумышленники атаковали нефтеперерабатывающее предприятие в Саудовской Аравии, принадлежащее компании Saudi Aramco, сообщила New York Times.
Взрыва не случилось исключительно из-за ошибки во вредоносном коде. Как следствие, атакованная инфраструктура отключилась, а не перешла в опасный режим работы, который закончился бы ее разрушением.
http://safe.cnews.ru/news/top/2018-03-21_nefteperegonnyj_zavod_chut_ne_vzorvali_s_pomoshchyu
Новость от 23.12.2017
В августе 2017 года вредоносное программное обеспечение (ПО) атаковало систему безопасности национальной нефтяной компании Саудовской Аравии Saudi Aramco.
Об одном ли событии или о разных говорится здесь?
#взлом #корпоративная_безопасность #удаленный_доступ #уязвимостьАнтивирусная правДА! рекомендует
Защита систем управления очень сильно отличается от защиты обычных компьютеров. Во-первых, в большинстве случаев контроллеры и иное оборудование не обладают необходимыми ресурсами для установки антивируса. Но это – наименьшая из проблем.
Главное, что системы управления должны работать постоянно и гарантированно. Любая внешняя система вносит задержки. Какие задержки вызовет очередное обновление антивируса, заранее неизвестно. Поэтому непосредственно на оборудовании антивирусам, увы, не место. Его безопасность обеспечивается контролем неизменности состояния компонентов (что, конечно, не защищает от «закладок»).
Защищать можно станции операторов, с которых идут команды на контроллеры, – там антивирусное ПО поставить реально. Но существует риск ложного срабатывания. Представьте себе ситуацию, когда после обновления некая специфическая программа, неизвестная вендору, будет признана вирусом. Чтобы этого не происходило, заключаются специальные договоры о взаимном тестировании ПО и предварительном тестировании обновлений (такая функция имеется в корпоративных продуктах Dr.Web).
Однако не все безопасники приветствуют системы защиты, в результате чего в системы управления проникают вредоносные программы. И рано или поздно это приводит к появлению «синего экрана смерти» или требования о выкупе.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
17:19:14 2018-07-26
achemolganskiy
04:29:51 2018-04-27
razgen
12:14:22 2018-04-26
Пaвeл
07:52:30 2018-04-26
Система управления канатной дорогой горнолыжного курорта Patscherkofel находилась в открытом доступе в Сети
Подробнее: https://www.securitylab.ru/news/492930.php
Lia00
01:28:29 2018-04-26
razgen
00:19:11 2018-04-26
Как, я уже писАл, У предприятий, сбой в работе которых представляет особую опасность, АСУ ТП не связана с Интернетом: она физически не подключена к глобальной СЕТИ. Поэтому никакой начальник физически не имеет возможности возможности влезть туда из дома.
orw_mikle
22:03:48 2018-04-25
I23
22:00:56 2018-04-25
В...а
21:55:05 2018-04-25
Zserg
21:54:24 2018-04-25
stavkafon
21:53:58 2018-04-25
Lenba
21:39:34 2018-04-25
НинаК
21:23:33 2018-04-25
Littlefish
21:02:52 2018-04-25
Littlefish
21:00:05 2018-04-25
Согласен. Как вариант разделение внутренней сети и Интернета.
Но этим нужно целенаправленно заниматься и вкладывать деньги, а везде пытаются сэкономить.
Littlefish
20:57:03 2018-04-25
ek
20:52:28 2018-04-25
Marsn77
20:45:27 2018-04-25
Toma
20:34:11 2018-04-25
Dvakota
20:21:26 2018-04-25
Сергей
20:09:05 2018-04-25
Шалтай Александр Болтай
19:52:56 2018-04-25
— Отлично! Теперь мы можем атаковать в любом направлении!
kva-kva
19:43:32 2018-04-25
zsergey
19:09:23 2018-04-25
Dmur
18:44:54 2018-04-25
vla_va
18:44:05 2018-04-25
Damir
18:04:40 2018-04-25
Дмитрий
17:53:05 2018-04-25
mk.insta
17:36:21 2018-04-25
maghan
17:23:12 2018-04-25
eaglebuk
16:59:53 2018-04-25
Biggurza
16:54:35 2018-04-25
@Людмила, Как и все форумчане, поддерживаю "Антивирусную Правду!" во всех начинаниях.
Всем форумчанам выражаю огромную благодарность за оценку стихов. Я этим специально не занимаюсь, однако, рифмы получаются сами собой (зачастую под настроение) при анализе тех или иных проблем информационной безопасности.
МЕДВЕДЬ
16:52:36 2018-04-25
Maat
16:48:27 2018-04-25
La folle
16:44:34 2018-04-25
Alexander
16:39:10 2018-04-25
Некоторую часть моих комментариев стихами можно назвать лишь с большой натяжкой, и то лишь по форме написания. Это - слова-понятия-ассоциации, расположенные так, чтобы при прочтении получалось нечто ритмичное и относительно благозвучное. Сам я воспринимаю такую форму комментариев к статьям АП как своего рода шутку-образ, получающийся при осмыслении читаемой информации. Рождаются ассоциации, проводятся какие-то отвлеченные параллели, которые помогают глубже понять суть обсуждаемой проблем. Если мне кажется, что такое изложение комментария сможет вызвать у участников форума улыбку, тогда я делюсь с вами своими ритмо-мыслями в такой "стихотворной" форме.
Andromeda
16:33:29 2018-04-25
razgen
16:28:26 2018-04-25
Геральт
16:23:21 2018-04-25
marisha-san
16:08:32 2018-04-25
Ruslan
15:51:58 2018-04-25
Людмила
15:44:34 2018-04-25
ваши стихотворные баталии подсказали идею конкурса. Надеюсь мы его реализуем:)
Oleg
15:28:32 2018-04-25
Альфа
15:27:51 2018-04-25
EvgenyZ
14:46:03 2018-04-25
Любитель пляжного футбола
14:42:53 2018-04-25
Sasha50
14:42:05 2018-04-25
Natalya_2017
14:41:06 2018-04-25
vinnetou
13:55:17 2018-04-25
Alexander
13:50:05 2018-04-25
Когда хвост виляет собакой,
А руль управляет руками,
Путь седока быть может такой,
Где грязь и опасность местами.
Как уберечься, как обойти,
Опасность сокрытую эту,
Златую средину надо найти!
Но сделать-то как? Дай совету!
Рулить самому этим рулем!
Так просто - налево, направо,
Хочу я поехать вот этим путем,
Все смотрят, и слышу я "Браво"!
Камешек мелкий по пальцу попал,
Руль дрогнул, и я вдруг упал.
И рук, и глаз - надо поболе,
И булава чтоб наготове,
И мелкий камешек сразить,
И чтоб трояна поразить.
Доктор-Вебера имей,
Ты возьми его скорей.
Он всему здесь голова,
Оградит тебя всегда.