Нефтегазовые компании подвержены кибератакам через уязвимости в ERP

Нефтегазовые компании подвержены кибератакам через уязвимости в ERP

Исследователи компании Digital Security, выявили ряд уязвимостей в бизнес-приложениях и промышленных процессах, относящихся к нефтегазовой индустрии, которые могут повлечь за собой реализацию кибератак.

В случае успеха, преступники способны получить контроль над 75% всей мировой добычи нефти. Векторы атаки, обнаруженные в ходе исследования, были представлены на конференции BlackHat в Амстердаме. 

Александр Поляков, технический директор Digital Security, выступил с докладом, который впервые детально описывает большую часть аспектов кибербезопасности типичной нефтегазовой организации. Исследование выявило несколько способов того, как атакующие могут получить неавторизованный доступ к OT-сети через уязвимости в ERP-системах, системах управления активами предприятия, системах планирования портфеля проектов, системах управления лабораторной информацией и других корпоративных приложениях. 

В частности, эксперты нашли уязвимости в таких приложениях, как SAP xMII, SAP Plant Connectivity, SAP HANA, Oracle E-Business Suite и некоторых широко используемых OPC-серверах (например, Matricon OPC). Эти проблемы безопасности могут быть использованы для того, чтобы провести многоступенчатую атаку и получить доступ к соединенным системам. 

“Идея простая. Мы хотели показать, что бизнес-приложения часто связаны между собой с использованием различных интеграционных технологий. Но гораздо важнее то, что корпоративные приложения, расположенные в корпоративной сети, а иногда и доступные через интернет, также часто соединены с устройствами в OT-сети, и  число таких соединений постоянно растет, так как интеграция между OT- и IT-системами становится все более глубокой.a

Например, если у вас есть какие-либо производственные устройства, которые собирают информацию об объемах нефти, эти данные должны быть каким-то образом переданы в корпоративную сеть для того, чтобы продемонстрировать их в виде графиков менеджерам, разрабатывающим долгосрочную финансовую стратегию и принимающим решения на основе этих данных. Поэтому, даже при наличии брендмауэра между IT- и OT-сетью, некоторые приложения все равно остаются связанными друг с другом, а соединения между ними часто небезопасны. Это позволяет провести атаку и выйти через IT-сеть (а иногда даже через интернет) на OT-сеть вплоть до систем SCADA, OPC-серверов, производственных устройств и интеллектуальных счетчиков”, - прокомментировал Александр Поляков. 

SAP – значимое звено в обеспечении безопасности каждой нефтегазовой компании. Приложения собирают данные о важных процессах через SAP xMII (Manufacturing Integration and Intelligence). Системы SAP xMII соединены с SAP PCo, которые обмениваются информацией с OPC-серверами, а те, в свою очередь, имеют прямой доступ к ICS- и ПЛК-устройствам. Так, одна из представленных на конференции атак позволяет киберпреступникам получить доступ к устройствам, которые контролируют такие процессы, как разделение нефти и газа, управление работой котла, коммерческий учет нефти и управление запасами в танкерах. 

Возможные векторы атаки не ограничиваются представленными на конференции примерами. Метод получения доступа к OT-сети через бизнес-приложения открывает сотни возможных способов проникновения в ключевые системы. Найти уязвимости в критических инфраструктурных устройствах было легко и раньше, так как они были разработаны без учета каких-либо мер безопасности (что доказывает растущее число уязвимостей, найденных в ICS). Вопрос заключался не в том, чтобы найти уязвимость в ICS-системе, а в том, чтобы найти доступ к этим устройствам, так как они расположены в защищенной сети. Используя метод, описанный в докладе, атакующие могут легко эксплуатировать любую уязвимость в SCADA/ PLC, которую они найдут или приобретут на черном рынке, что делает атаки на важные нефтегазовые процессы таким же относительно простым делом, как взлом сайта.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

УБК МВД предупреждает о новой схеме перехвата платежных данных

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупреждает о новой схеме мошенничества, основанной на перехвате платёжных данных через функцию демонстрации экрана.

Как сообщает официальный телеграм-канал УБК МВД «Вестник киберполиции России», злоумышленники ищут потенциальных жертв среди людей, которые подыскивают работу или подработку.

Чаще всего аферисты предлагают вакансию помощника для пожилого человека, в обязанности которого входит закупка продуктов и лекарств.

После этого мошенники переводят общение в мессенджер, где передают списки покупок и якобы отправляют деньги для их оплаты.

Чтобы внушить доверие, жертве направляют поддельное СМС-сообщение от банка о переводе средств. Таким образом создаётся иллюзия реальной финансовой операции и укрепляется вера в «работодателя».

Под предлогом контроля расходов аферисты просят включить демонстрацию экрана. Это позволяет им перехватывать реквизиты онлайн-банка, включая коды из СМС или push-уведомлений, используемые для двухфакторной аутентификации.

В УБК МВД напомнили: ни при каких обстоятельствах нельзя включать демонстрацию экрана при общении с незнакомыми людьми.

Популярность этой мошеннической техники резко выросла в 2024 году. По данным Банка России, на такие схемы приходилось до 20% дистанционных хищений, общий ущерб составил около 1 млрд рублей. Массово применять её начали уже в январе 2024 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru