Более 160 тысяч компонентов АСУ ТП доступны для атак из Интернета

Более 160 тысяч компонентов АСУ ТП доступны для атак из Интернета

В 2016 году в компонентах, применяемых для управления технологическими процессами на промышленных объектах, были обнаружены 115 уязвимостей. Используя общедоступные поисковые системы, потенциальные злоумышленники могут удаленно получить доступ к 162 039 компонентам АСУ ТП, в том числе к 4,5 тысячам устройств, обеспечивающих работу энергетических объектов.

Под угрозой также здания (38 тысяч доступных компонентов систем Smart House) и другие объекты. Такие данные приводятся в аналитическом отчете «Безопасность АСУ ТП: Итоги 2016 года», опубликованном сегодня компанией Positive Technologies

Как выяснили эксперты Positive Technologies, наибольшее количество компонентов АСУ ТП, имеющих подключение к сети Интернет, приходится на США (31%), Германию (8%) и Китай (5%). Большое число найденных компонентов АСУ ТП в этих странах, среди прочего, связано с широким распространением современных автоматизированных систем управления зданиями. Россия сохранила 31 место с 591 компонентом АСУ ТП, что составляет менее 1% от общего числа доступных в сети Интернет компонентов. 

Самыми распространенными компонентами АСУ ТП в глобальной сети являются системы автоматизации зданий компании Tridium, системы мониторинга и управления электроэнергией SMA Solar Technology, а также устройство IPC@CHIP немецкой компании Beck IPC, популярность которого объясняется его относительно низкой ценой, многофункциональностью и наличием встроенного контроллера Ethernet с поддержкой стека TCP/IP и встроенного веб-сервера. 

Авторы исследования обращают внимание на значительный рост встречаемости конвертеров интерфейсов и сетевых устройств, которые представляют наибольший интерес для злоумышленников. Атаки на подобные устройства не требуют понимания технологического процесса и могут привести к его нарушениям и даже к серьезным авариям.

Среди обнаруженных 115 уязвимостей свыше половины (60%) имеют критическую и высокую степень риска, и большинство из них могут эксплуатироваться удаленно без необходимости получения каких-либо привилегий. Наиболее распространенными типами брешей стали «Удаленное выполнение кода», «Отказ в обслуживании» и «Раскрытие информации». При этом большая часть уязвимостей приходится на устройства диспетчеризации и мониторинга (ЧМИ/SCADA). 

Лидерами в рейтинге наиболее уязвимых компонентов АСУ ТП являются продукты компаний Siemens, Advantech, Schneider Electric, а также производителя промышленного сетевого оборудования компании Moxa. Стоит отметить, что количество опубликованных уязвимостей напрямую зависит от распространенности продукта и от того, придерживается ли производитель политики ответственного разглашения. Поэтому эти данные не свидетельствуют напрямую о слабой защищенности этих решений.

«Производители АСУ ТП стали уделять больше внимания выявлению и устранению уязвимостей в своих продуктах, что позволило приостановить рост числа выявляемых недостатков безопасности, — отмечает руководитель отдела безопасности промышленных систем управления Владимир Назаров. — Однако не менее важная проблема связана с ежегодным увеличением количества компонентов АСУ ТП, доступных в сети Интернет. Для удаленного доступа к промышленным системам часто используются словарные или сервисные пароли, что позволяет любому злоумышленнику без труда перехватить управление над системой. Сейчас промышленные системы применяются в самых разных областях, от АЭС до персональных систем «умных домов», и киберпреступник получает возможность в комфортных условиях отыскать уязвимость в одной АСУ ТП для проведения атак на множество объектов во всем мире». 

Специалисты по безопасности АСУ ТП Positive Technologies в 2016 году выявили и помогли устранить 11 уязвимостей в продуктах таких компаний, как Siemens, Advantech, Schneider Electric, General Electric, Rockwell Automation, а также направили производителям систем АСУ ТП информацию о 13 других уязвимостях. Среди обнаруженных недостатков есть и уязвимости, связанные с хранением паролей пользователей в открытом виде, которые могут привести к перехвату контроля над SCADA-системой. 

Для повышения общего уровня безопасности эксперты Positive Technologies рекомендуют предпринимать минимальные превентивные меры защиты, такие как отключение компонентов АСУ ТП от сети Интернет и использование сложных паролей, которые позволяют в значительной степени снизить вероятность проведения атак. Также необходимо проводить регулярный анализ защищенности АСУ ТП с целью выявления возможных векторов атак и разработки эффективной системы защиты. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Linux-версию бэкдора DinodasRAT заметили в реальных кибератаках

Эксперты «Лаборатории Касперского» зафиксировали в реальных кибератаках Linux-версию мультиплатформенного бэкдора DinodasRAT. Вредонос, которого также называют XDealer, написан на C++ и позволяет операторам собирает конфиденциальные данные.

Об активности DinodasRAT предупреждали ещё в октябре 2023 года специалисты антивирусной компании ESET. Тогда злоумышленники распространяли исключительно версию для Windows.

За атаками DinodasRAT, как считают исследователи, стоят китайские киберпреступные группировки, одна из которых, — LuoYu. Например, Trend Micro приписывает распространение бэкдора группе Earth Krahang.

Теперь «Лаборатория Касперского» выявила Linux-версию вредоноса, проходящую под номером V10. Этот образец предназначен в основном для дистрибутивов на базе Red Hat и Ubuntu.

После выполнения бэкдор «окапывается» в системе, используя скрипты запуска SystemV и SystemD, а затем периодически пытается соединиться с удалённым сервером по TCP или UDP. Последний присылает зловреду команды.

DinodasRAT может совершать операции с файлами, менять адреса командного сервера (C2), составлять список запущенных процессов и завершать их, выполнять шелл-команды, скачивать новую версию бэкдора и удалять свою копию из системы.

Инструменты отладки и мониторинга используются для ухода от детектирования, а для маскировки общения с C2 DinodasRAT задействует Tiny Encryption Algorithm (TEA).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru