Не толкова сложно, колкото си мислехме: Кибератаките върху операционните технологии се увеличават

 

Атаките срещу контролни процеси, като например системи в индустриални условия, се увеличават, като се използват често използвани и нестандартни методи за тяхното компрометиране.

Във вторник екипът на Mandiant за киберфодемика на FireEye пусна доклад проучване на честотата на атаките върху контролните процеси, особено тези, поддържани от оперативна технология (OT).

Докато атаките на контролния процес някога може да са били разглеждани като сложни поради изискванията за достъп, необходимостта от злонамерен софтуер, създаден да компрометира собствени индустриални технологии, или самата задача за нарушаване на контролния процес за създаване на предсказуем ефект, уязвимите крайни точки, свързани с интернет, са сега предлага по-широка повърхност за атака.

Keith Lunden от Mandiant, Daniel Kapellmann Zafra и Nathan Brubaker казаха, че има все по-голяма честота на опити за ОТ атака с „ниска изтънченост“ и фирмата е наблюдавала хакери с „различни нива на умения и ресурси“, използвайки „общи IT инструменти и техники за придобиване достъп до и взаимодействие с изложени OT системи. ”

Насочени са мрежите на панелите за слънчева енергия, системите за контрол на водата и системите за автоматизация на сградите (BAS) и докато съществените обекти от критична инфраструктура са в списъка, същите техники се използват срещу академични и частни устройства за интернет на нещата (IoT) също.

Според екипа, общата тенденция срещу OT системите изглежда се основава на нападателите, които се опитват да се борят с огромен брой отворени крайни точки за “идеологически, егоистични или финансови цели”, а не желание да причинят сериозни щети – като напр. чрез поемане на контрола върху основен инфраструктурен актив.

През последните няколко години изследователите наблюдават, че OT активите се компрометират чрез различни методи, включително услуги за отдалечен достъп и изчисляване на виртуална мрежа (VNC).

Въпреки това, „плодовете с ниско окачване“, които много атакуващи се стремят, са графичните потребителски интерфейси (GUI) – включително интерфейсите на човешки машини (HMI) – които по дизайн са предназначени да бъдат прости потребителски интерфейси за управление на сложни индустриални процеси. В резултат на това участниците в заплахата могат да „променят контролните променливи без предварително познаване на даден процес“, казва Mandiant.

Друга тенденция за отбелязване е хактивизмът, задвижван от широко достъпни и безплатни онлайн уроци. Наскоро изследователите са видели хактивистки групи, които се хвалят в публикации в социалните медии срещу Израел / пропалестина, че са компрометирали израелските активи в сектора на възобновяемите източници и добива.

Изглежда, че други нискоквалифицирани участници в заплахите са съсредоточени върху известността, с малко знания за това, към което са насочени.

В два отделни случая участници в заплахата се похвалиха с отвличане на германска система за контрол на железопътния транспорт – само за да бъде командна станция за моделни влакови композиции – и в друг, група твърди, че са проникнали в израелска „газова“ система, но не беше нищо повече от кухненска вентилационна система в ресторант.

Въпреки тези гафове обаче успешните атаки срещу критични OT активи могат да имат сериозни последици. В крайна сметка трябва само да разгледаме като пример паниката при закупуване и недостиг на гориво в САЩ, причинени от избухването на рансъмуер в Colonial Pipeline.

„С увеличаването на броя на проникванията нараства и рискът от нарушаване на процеса“, казва Мандант. “Публичността на тези инциденти нормализира кибер операциите срещу OT и може да насърчи други участници в заплахата да се насочват все повече към тези системи. Това е в съответствие с увеличаването на дейността на OT от по-добре финансирани финансово мотивирани групи и оператори на рансъмуер.”

Изследователите препоръчват, когато това е възможно, OT активите да бъдат премахнати от публичните онлайн мрежи. Укрепване на мрежата, одити на сигурността, включително откриване на устройства, трябва да се извършват често, а HMI, заедно с други активи, трябва да бъдат конфигурирани да предотвратяват потенциално опасни променливи състояния.

Рискът от компромис със СЗ не е останал незабелязан от федералните агенции. През юли Американската агенция за национална сигурност (NSA) и Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) издадоха съвместно предупреждение предупреждение за атаки срещу критична инфраструктура чрез уязвима OT.

Агенциите казват, че наследените OT устройства, интернет свързаността и съвременните методи за атака са създали „перфектна буря“.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com