40% систем управления промышленными процессами уязвимы для хакеров

40% систем управления промышленными процессами уязвимы для хакеров

Более 40% подключенных к интернету автоматизированных систем управления технологическим процессом (АСУ ТП), применяющихся на предприятиях в энергогенерирующей, нефтеперерабатывающей и других отраслях, уязвимы для простейших хакерских атак, в результате чего целые заводы могут быть выведены из строя, говорится в исследовании российской компании Positive Technologies, опубликованном в среду.

Системы АСУ ТП в настоящее время применяются практически в каждой отрасли: начиная с транспортной (скоростные поезда «Сапсан», метрополитен), заканчивая атомными и гидроэлектростанциями, и даже сетями распределения электроэнергии и водоснабжения. Последствия успешной хакерской атаки на любую из таких систем могут оказаться катастрофическими, однако, как выяснили специалисты Positive Technologies, безопасность современных АСУ ТП оставляет желать лучшего, сообщает digit.ru.

«Как минимум 42% доступных через интернет систем АСУ ТП содержат уязвимости, которыми без труда может воспользоваться злоумышленник. Доля систем, безопасность которых была достоверно подтверждена в ходе исследования, составляет всего лишь 17%», — говорится в тексте исследования.

Специалисты отмечают рост числа именно подключенных к сети систем (еще несколько лет назад такие примеры были редкостью и АСУ ТП в основном работали автономно). США и Европа лидируют по числу доступных из интернета систем АСУ ТП, при этом 54% доступных извне систем в Старом Свете и 39% в США уязвимы и могут быть взломаны. На третьей позиции — Азия (32%). В России уязвима половина интернет-доступных систем АСУ ТП.

Большинство проблем безопасности IT-систем управления связаны с ошибками конфигурации (например, со стандартными паролями) и отсутствием обновлений. В подобных ситуациях системы могут быть взломаны даже непрофессиональными хакерами. В настоящий момент 35% всех представленных уязвимостей АСУ ТП имеют эксплойты (готовые средства для использования уязвимости), которые свободно распространяются в виде отдельных утилит, входят в состав программных пакетов для проведения тестов на проникновение, либо описаны в уведомлениях об уязвимости, отмечают исследователи.

Отчасти в подобной ситуации виноваты сами производители систем АСУ ТП. По данным исследователей, примерно каждая пятая уязвимость «закрывалась» с серьезной задержкой, а в некоторых случаях так и не была устранена. Например, Siemens устранил и выпустил обновления для 92% уязвимостей, тогда как Schneider Electric ликвидировал только чуть больше половины (56%). Исследование охватило период с 2005 года до 1 октября 2012 года. В период с 2005 года по 2010 год было обнаружено всего 9 уязвимостей в системах АСУ ТП. Однако после появления червя Stuxnet в 2010 году, который, предположительно, атаковал ряд ядерных объектов Ирана, за 2011 год было найдено уже 64 уязвимости.

За первые восемь месяцев 2012 года появились сообщения о 98 новых уязвимостях: это больше, чем за все предыдущие годы. При этом около 65% уязвимостей относятся к высокой и критической степени риска. «Этот показатель значительно превышает аналогичный показатель в прочих IТ-системах, что свидетельствует о низком уровне развития информационной безопасности систем АСУ ТП», — отмечают эксперты Positive Technologies.

Наибольший интерес для злоумышленников представляют такие составляющие АСУ ТП, как системы SCADA (системы сбора и анализа информации о работе производства) и интерфейсы управления Human Machine Interface, в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах (устройствах, контролирующих работу оборудования) различных производителей за отчетный период найдены 20 уязвимостей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru