Jak obecnie rozwijają się zagrożenia wobec infrastruktury fizycznej?

Jednym z pierwszych złośliwych narzędzi, które zostały wykorzystany przeciwko infrastrukturze fizycznej, był robak Stuxnet, odkryty dziesięć lat temu – w czerwcu 2010 roku. Korzystając z tej okazji analitycy przypominamy historię najważniejszych ataków na systemy przemysłowe.

Obserwując najważniejsze cyberataki na systemy przemysłowe w ciągu ostatniej dekady, łatwo zauważyć, jak rozwinęły się umiejętności i możliwości techniczne cyberprzestępców. Znacznie bardziej niepokojąca jest jednak ich gotowość do wyrządzania szkód nie tylko w środowiskach cyfrowych, ale i w infrastrukturze fizycznej. Może mieć to wpływ na bezpieczeństwo publiczne oraz ludzkie zdrowie i życie - opisują  analitycy FortiGuard Labs firmy Fortinet .

Stuxnet jest jednym z pierwszych przykładów, które pokazały światu, jaki wpływ mogą mieć cyberataki na infrastrukturę fizyczną. Wzrost liczby nowych zagrożeń radykalnie zmienił sposób funkcjonowania przemysłowych systemów ICS/SCADA. Specjaliści z FortiGuard Labs przeanalizowali niektóre z najważniejszych cyberataków na systemy przemysłowe, które miały miejsce w ciągu ostatniej dekady.

Reklama

2011: Duqu

Złośliwe oprogramowanie, odkryte przez węgierskich analityków, które pod względem struktury bardzo przypominało Stuxnet. Duqu został zaprojektowany w celu kradzieży informacji (tzw. infostealer) poprzez ukrycie transmisji danych w ruchu HTTP i przesyłanie złośliwych plików w formacie jpg. Odkrycie tego narzędzia unaoczniło jak w procesie ataku ważny jest etap rekonesansu, w trakcie którego złośliwy kod wykrada informacje. Bardzo często bowiem jest to pierwszy krok z zaplanowanej wcześniej serii kolejnych etapów ataku.

2013: Havex

Havex jest złośliwym oprogramowaniem typu Remote Access Trojan (RAT), które zostało odkryte w 2013 r. Stworzone przez grupę przestępczą znaną jako Grizzly Steppe, Havex atakował systemy kontroli przemysłowej (ICS) i komunikował się z serwerem nadzorującym pracę złośliwego kodu (Command&Control, C2), z którego dostarczane były kolejne moduły zawierające niebezpieczne narzędzia.

Kod tego narzędzia, specjalnie dostosowany do atakowania systemów ICS, gromadził dane przesyłane przez różne serwery z wykorzystaniem standardu otwartej platformy komunikacyjnej (Open Platform Communication, OPC), w tym takie informacje jak identyfikator klas CLSID, nazwę serwera, identyfikator programu, wersję OPC, informacje o producencie atakowanej platformy, stan pracy, liczbę grup i przepustowość serwera, a także był w stanie wyliczyć znaczniki OPC. Komunikując się z infrastrukturą C2, Havex otrzymywał instrukcje, które dawały możliwości nieznane dotąd złośliwemu oprogramowaniu.

2015: BlackEnergy

Odkryte w 2015 r. oprogramowanie BlackEnergy wykorzystywało makra w dokumentach Microsoft Excel. Złośliwe narzędzie dostawało się do sieci za pośrednictwem wiadomości e-mail typu spear-phishing, wysyłanych do konkretnych, starannie wybranych jako cel, pracowników. Kampania ta udowodniła, że cyberprzestępcy mogą manipulować infrastrukturą krytyczną na dużą skalę.

2017: TRITON

Złośliwe oprogramowanie, które jest ukierunkowane szczególnie na systemy zapewniające ochronę rozwiązań przemysłowych (Safety Instrumented System, SIS). Triton modyfikuje oprogramowanie układowe w pamięci, aby dodać do niego złośliwe funkcje. Pozwalało to przestępcom odczytać lub zmodyfikować zawartość pamięci i zaimplementować niestandardowy kod wraz z dodatkowymi instrukcjami, które miały na celu wyłączenie, spowolnienie pracy lub zmodyfikowanie rozwiązań umożliwiających bezpieczne wstrzymanie pracy procesu przemysłowego. Triton to pierwsze znane złośliwe oprogramowanie zaprojektowane specjalnie do atakowania systemów bezpieczeństwa przemysłowego, chroniących ludzkie życie.

Ryzyko związane z systemami przemysłowymi jest coraz szerzej znane i coraz bardziej priorytetowo traktowane. Istnieją instytucje rządowe, jak ICS-CERT w USA czy Centrum Ochrony Infrastruktury Narodowej (CPNI) w Wielkiej Brytanii, które publikują porady i wytyczne dotyczące najlepszych praktyk w zakresie bezpieczeństwa systemów ICS.

Odpowiednie normy zostały również opracowane przez Międzynarodowe Towarzystwo Automatyki (ISA). Natomiast organizacja non-profit ICS-ISAC podejmuje działania edukacyjne dotyczące świadomości zagrożeń i najlepszych praktyk, aby pomóc obiektom rozwijać świadomość dotyczącą sytuacji, w których może być zagrożone bezpieczeństwo lokalne, narodowe i międzynarodowe.

INTERIA.PL/informacje prasowe
Dowiedz się więcej na temat: bezpieczeństwo | Wirusy | cyberzagrożenia
Reklama
Reklama
Reklama
Reklama
Reklama