Новое вредоносное ПО для промсистем опасно не только для энергетики, и не только в США – эксперт

15 июн 2017 18:36:57
нефтегаз , электроэнергия , тепло
Новое вредоносное программное обеспечение для атаки на автоматизированные системы управления технологическими процессами (АСУ ТП), выявленное на прошедшей неделе словацкой Eset и американской Dragos, представляет угрозу не только для энергетической отрасли, и не только в США, заявил "Интерфаксу" руководитель отдела безопасности промышленных систем управления российской Positive Technologies Владимир Назаров.

"Данное ПО сейчас нацелено на объекты электроэнергетики, но так как в нем используется модульная архитектура, которую хакеры могут модифицировать в зависимости от поставленных задач, оно может быть расширено и применено для атак в других отраслях. Перечень поддерживаемых протоколов совпадает с используемыми в электроэнергетике, но, в принципе, возможно, что данное ПО сможет нанести урон и другим областям - например, нефтяной", - сказал В.Назаров.

При этом В.Назаров отметил, что новое вирусное ПО является логическим продолжением предыдущих поколений вредоносного софта, включая Stuxnet (использовался для нарушения работы на иранских ядерных объектах - ред). По его словам, новый вирус можно сравнить с комбайном, который поддерживает множество промышленных протоколов и может выполнять много атак.

Как сообщалось, Eset выявила новое вредоносное ПО в конце прошлой недели - вирус получил название Industroyer. Dragos, в свою очередь, смогла на основании данных Eset выявить и изучить вирус (получил название Crashoverride - ред), а затем и первой публично сообщить результаты своего исследования. При этом она в своих сообщениях акцентировала внимание на угрозе нового вируса прежде всего для энергетических компаний США.

По оценке Eset, подобное вредоносное ПО могло послужить причиной сбоя энергоснабжения в Киеве в декабре 2016 года. Dragos согласна с этой оценкой и при этом полагает, что прошлогодний инцидент был организован российской кибергруппировкой Sandworm. Также Dragos считает, что оператором Crashoverride является группа Electrum, непосредственно связанная с Sandworm. Версия этой компании получила широкое распространение в западных СМИ.

По данным компаний, вирус имеет модульную структуру. В его составе основной и дополнительный бэкдоры, четыре модуля для работы с промышленными протоколами связи, стиратель данных и DoS-инструмент для атак типа "отказ в обслуживании". Industroyer/Crashoverride может управлять переключателями трансформаторных подстанций и рубильниками, позволяя атакующим просто отключить подачу электроэнергии или повредить оборудование.

"Протоколы, атакуемые данным ПО, широко используются в устройствах, выпускаемых промышленностью и используемых на предприятиях, - сказал В.Назаров. - Стоит отметить, что данные протоколы разрабатывались давно и практически не имеют механизмов защиты и поэтому скомпоновать модули поддержки этих протоколов с целью создания нового единого инструмента проведения атаки на широкий спектр оборудования - это новый шаг со стороны злоумышленников".

По оценке В.Назарова, для защиты от нового вируса достаточно стандартных мер защиты: антивирус с обновленными базами. "Но при этом необходимо понимать, что основа реагирования на сложные атаки в сфере АСУ ТП - это большая, заблаговременно проведенная подготовительная работа, - подчеркнул эксперт. - Например, по созданию на предприятии системы управления инцидентами кибербезопасности АСУ ТП".

Также В.Назаров отметил, что вредоносное ПО в основном работает с протоколами, но его функционал предусматривает и прямое использование уязвимостей в компонентах АСУ ТП. "Естественно, закрытие этих уязвимостей вендорами спасет ситуацию, но на реальных объектах поддержание актуальных версий прошивок на оборудовании - это очень сложный процесс, и, как правило, действующие объекты отстают по версионности", - добавил В.Назаров.

По итогам прошлого года число опубликованных уязвимостей в АСУ ТП в мире сократилось почти в два раза, до 115 единиц с 212 в 2015 году (данные исследования Positive Technologies). Большая часть уязвимостей в распространенных продуктах была устранена производителями.

Наибольшее число выявленных уязвимостей приходится на продукты компаний Siemens (37), Advantech (19), Schneider Electric (18). По оценке исследователей, количество опубликованных уязвимостей напрямую зависит от распространенности продукта и от того, придерживается ли производитель политики ответственного разглашения.

По данным Positive Technologies, по итогам прошлого года в мире было выявлено 169 тыс. компонентов АСУ ТП, доступных через интернет. Большая часть подключенных к интернету промышленных систем приходится на США (31%), Германию (8%) и Китай (5%). В 2016 году Россия заняла 31-е место с 591 компонентом АСУ ТП (менее 1% от общего числа доступных в сети интернет компонентов).

Читайте также

Украина и Беларусь обсуждают строительство новых межгосударственных электросетей

Украина и Беларусь обсуждают строительство новых межгосударственных электросетей, а также вставок постоянного тока (ВПТ) для существующих линий электропередач, сообщила пресс-служба Министерства энергетики и защиты окружающей среды (Минэкоэнерго) по итогам заседания украинско-беларуской группы по сотрудничеству в топливно-энергетической сфере, передает Энергореформа.

Депутат Кучеренко зарегистрировал в Верховной раде законопроект о внесении изменений в закон о НКРЭКУ

В Верховной Раде зарегистрирован законопроект о внесении изменений в Закон Украины "О Национальной комиссии, осуществляющей государственное регулирование в сферах энергетики и коммунальных услуг" и других законов (относительно приведения их в соответствие с требованиями Конституции Украины), сообщает Энергореформа.

Руководителя сектора рыночного контроля BRDO Головатенко назначили замглавы Минэкоэнерго

Кабинет министров Украины назначил заместителем министра энергетики и охраны окружающей среды Владимира Головатенко, передает Энергореформа.

Авторизация



Создать аккаунт


Авторизация

Возникла ошибка авторизации!
Извините, возникла ошибка авторизации. Пожалуйста, попробуйте еще раз (в окне социальной сети вам необходимо подтвердить авторизацию), или попробуйте авторизоваться через другую социальную сеть.

Пожалуйста проверьте свою почту
и перейдите по ссылке,
чтобы завершить свою регистрацию
на сайте.

Комментарий отправлен на модерацию