Кибербезопасность в нефтегазовой отрасли
НазадЛандшафт угроз для систем промышленной автоматизации нефтяной отрасли 2018-2019 гг
APT атаки на промышленные компании
Атаки APT-группировки Leafminer
В августе 2018 года стало известно о шпионских атаках группировки Leafminer, также получившей название RASPITE, на государственные организации, коммерческие и промышленные предприятия в США, а также в странах Европы, Ближнего Востока и Восточной Азии. Были атакованы компании различных сфер деятельности: энергетики, государственного сектора, финансовые, транспортные и другие.
Для реализации своих атак злоумышленники используют различные общедоступные и специально разработанные инструменты, эксплойты, тактику watering hole и перебор по словарю. В арсенале Leafminer имеется известный эксплойт EternalBlue, а также модифицированная версия широко распространенной программы Mimikatz.
Новое вредоносное ПО GreyEnergy
17 октября 2018 года исследователи опубликовали информацию об атаках ранее пропавшей с радаров исследователей APT группировки BlackEnergy, в которых использовалось ранее неизвестное вредоносное ПО. Атаки были нацелены преимущественно на промышленные сети различных организаций в Центральной и Восточной Европе. Обнаруженная вредоносная программа и группировка, стоящая за этими кибератаками, получили название GreyEnergy. В основном активность GreyEnergy направлена на нефтяные и энергетические компании, предприятия транспорта и организации других отраслей, с фокусом на организации, оперирующие объектами критической инфраструктуры.
В ходе анализа GreyEnergy специалисты выявили концептуальное сходство нового вредоносного ПО со зловредом BlackEnergy, который использовался в атаках на украинские энергосети в 2015 году. Исследователи выявили связь группировки GreyEnergy с деятельностью преступной группы TeleBots, известной в связи со многими масштабными атаками, включая атаки с использованием вредоносного ПО NotPetya и BadRabbit в 2017 году. Вредоносное ПО GreyEnergy позволяет атакующим собирать учетные данные пользователей, в том числе для проникновения в технологические сети промышленных предприятий. Для этих целей группировка применяет и общедоступные инструменты, такие как Mimikatz, PsExec, WinExe, Nmap и пр. По данным «Лаборатории Касперского», злоумышленникам было также известно об уязвимости в Siemens WinCC, которую они использовали, чтобы проникнуть в сети выбранных жертв в своих более ранних атаках в 2014 году. Эта уязвимость (которую, вероятнее всего, уже исправил производитель и которая получила идентификатор CVE-2014-8551), использовалась также в недавних атаках. Кроме того, в прошлом группировка взламывала маршрутизаторы своих жертв, устанавливая модули и скрипты, предназначенные для различных целей, в том числе распространения по корпоративной сети.
Кампания Sharpshooter
В декабре 2018 года исследователи сообщили об обнаружении глобальной кампании Sharpshooter («Снайпер»), направленной, преимущественно, на предприятия оборонной промышленности и ядерной энергетики, а также финансовые учреждения. Основной целью хакеров эксперты назвали шпионаж.
Согласно опубликованным в декабре данным, с начала октября 2018 года, когда была обнаружена активность Sharpshooter, целевым атакам подверглось 87 организаций.
Цепочка заражения начиналась с открытия документа Microsoft Word с вредоносным макросом. При его запуске активировался шелл-код, который действовал как обычный загрузчик и доставлял в систему имплант. Зараженные файлы распространялись злоумышленниками через Dropbox.
Для атаки на предприятия злоумышленники использовали ранее неизвестный имплант – вредоносную программу, которая встраивается в систему атакованного компьютера. Эта программа получила название Rising Sun («Восходящее солнце»). Исследователи «Лаборатории Касперского» связывают эти атаки с деятельностью преступной группировки Lazarus.
MuddyWater
В начале декабря 2018 года стало известно об атаках группировки MuddyWater (она же Seedworm) на организации на Среднем Востоке, в Европе и Северной Америке с целью сбора данных.
По данным экспертов, в период с конца сентября по середину ноября 2018 года жертвами киберпреступников стали более 130 сотрудников в 30 организациях, в основном, в Пакистане и Турции. Атакам также подвергались организации в России, Саудовской Аравии, Афганистане, Иордании и других странах.
В числе основных интересов группировки упоминается нефтегазовый сектор. Среди жертв атак оказались также университеты на Среднем Востоке и посольства стран ближневосточного региона в европейских государствах.
Shamoon v.3
10 декабря 2018 года итальянская нефтегазовая компания Saipem сообщила о кибератаке на свои серверы, расположенные на Ближнем Востоке, в Индии, Шотландии и Италии. Позднее стало известно, что в ходе атаки использовался новый вариант червя Shamoon – Shamoon v3. В результате инцидента пострадали порядка 300-400 серверов и до 100 персональных компьютеров.
После сообщения об инциденте в Saipem найдены доказательства подобных атак на еще две организации нефтегазовой отрасли в Саудовской Аравии и ОАЭ, произошедшие примерно в то же время. Вредоносное ПО Shamoon стало известно в 2012 году после заражения сетей нефтяных компаний Saudi Aramco и Rasgas. В 2016-2017 годах произошла новая волна атак с использованием зловреда, являющегося модификацией Shamoon (Shamoon v2), вместе с другой вредоносной программой StoneDrill.
Эксперты считают, что к атакам Shamoon v3 имеет отношение иранская киберпреступная группировка APT33 или некая группа, маскирующаяся под нее. В конце декабря специалисты сообщили об еще одном новом варианте Shamoon, который был загружен в базу данных сервиса VirusTotal 23 декабря. Вредоносная программа маскировалась под инструмент для настройки и оптимизации системы китайской компании Baidu.
Киберпреступная деятельность
Атаки программ-вымогателей
По данным Kaspersky Lab ICS CERT, во втором полугодии 2018 года процент компьютеров АСУ, на которых были предотвращены попытки заражений программами-вымогателями, вырос с 1,6% до 2%.
Вредоносная программа-шифровальщик WannaCry до сих пор является актуальной угрозой, в том числе и для промышленных предприятий. Напомним, что в марте 2018 года атаке WannaCry подверглись системы американской авиастроительной корпорации Boeing. По данным «Лаборатории Касперского», в третьем квартале 2018 года WannaCry был лидером среди семейств вредоносных программ-вымогателей по проценту атакованных пользователей (28,72%).
Еще один инцидент, связанный с атакой другого вымогательского ПО, произошел 28 ноября 2018 года на Московской канатной дороге. По сообщениям компании-оператора, в результате атаки на серверы компании были зашифрованы файлы на «головном компьютере». Сотрудники Московской канатной дороги оперативно высадили всех пассажиров на станциях и остановили движение дороги. За расшифровку файлов злоумышленники потребовали выкуп в биткойнах, размер которого зависел от скорости его выплаты. Штатная работа канатной дороги была восстановлена через два дня.
Уязвимости, обнаруженные в 2018 году
Уязвимости в различных компонентах АСУ ТП
Анализ уязвимостей проводился на основе уведомлений производителей, общедоступной информации из открытых баз уязвимостей (US ICS-CERT, CVE, Siemens Product CERT), а также результатов собственных исследований Kaspersky Lab ICS CERT.
В качестве данных для статистики использовалась информация об уязвимостях, опубликованная на сайте US ICS-CERT в 2018 году.
Количество обнаруженных уязвимостей
В 2018 году на сайте US ICS-CERT было опубликовано 415 уязвимостей, выявленных в различных компонентах АСУ ТП – на 93 больше, чем в 2017 году.
Анализ по отраслям
Большая часть уязвимостей затрагивает автоматизированные системы, управляющие производственными процессами различных предприятий (115), энергетикой (110) и водоснабжением (63). В числе лидеров также автоматизированные системы управления, применяемые в пищевой промышленности и сельском хозяйстве, а также в химической промышленности.
Степень риска выявленных уязвимостей
Больше половины выявленных в системах АСУ ТП уязвимостей (284, в прошлом году – 194) получили оценку более 7 баллов по шкале CVSS версии 3.0, что соответствует высокой и критической степени риска.
В сравнении с данными прошлого года, доля уязвимостей, имеющих высокую и критическую степень риска, возросла. Наивысшая оценка в 10 баллов была присвоена уязвимостям, обнаруженным в следующих продуктах:
- Siemens TIM 1531 IRC Modules
- Siemens SINUMERIK Controllers
- Circontrol CirCarLife
- NUUO NVRmini2 and NVRsolo
- Emerson AMS Device Manager
- Rockwell Automation RSLinx Classic
- Schneider Electric U.motion Builder
- Martem TELEM-GW6/GWM
Большинство уязвимостей, получивших 10 баллов, связаны с проблемами аутентификации или переполнением буфера. Необходимо отметить, что оценка CVSS не учитывает специфику систем промышленной автоматизации и особенности технологических процессов конкретной организации. Поэтому при оценке критичности уязвимости, помимо количества баллов по шкале CVSS, мы рекомендуем учитывать возможные последствия ее эксплуатации, такие как нарушение или ограничение выполнения функций АСУ ТП, влияющих на непрерывность технологического процесса.
Типы выявленных уязвимостей
Среди наиболее распространенных типов уязвимостей – переполнение буфера (Stack-based Buffer Overflow, Heap-based Buffer Overflow, Classic Buffer Overflow) и некорректная проверка входных данных (Improper Input Validation).
При этом 16% всех опубликованных уязвимостей связаны с проблемами аутентификации (Improper Authentication, Authentication Bypass, Missing Authentication for Critical Function) и с проблемами управления доступом (Access Control, Incorrect Default Permissions, Improper Privilege Management, Credentials Management), а 10% – являются веб-уязвимостями (Injection, Path traversal, Cross-site request forgery (CSRF), Cross-site scripting, XXE).
В сравнении с прошлым годом доля уязвимостей, связанных с переполнением буфера, значительно возросла. На наш взгляд, данное явление может быть связано с повышением интереса исследователей безопасности к компонентам АСУ ТП и, в том числе, стремлением автоматизировать поиск уязвимостей за счет применения техники фаззинга (fuzzing), которая позволяет находить бинарные уязвимости.
Эксплуатация злоумышленниками уязвимостей в различных компонентах АСУ ТП может привести к выполнению произвольного кода, несанкционированному управлению промышленным оборудованием и отказу в его работе (DoS). При этом большинство уязвимостей (342) могут эксплуатироваться удаленно без аутентификации, и их эксплуатация не требует от злоумышленника специальных знаний и высокого уровня навыков.
По данным US ICS-CERT, для 23 уязвимостей опубликованы эксплойты, что повышает риск их злонамеренного использования.
Уязвимые компоненты АСУ ТП
Наибольшее количество уязвимостей было выявлено в:
- инженерном ПО (143),
- SCADA/HMI-компонентах (81),
- сетевых устройствах промышленного назначения (66),
- ПЛК (47).
Среди уязвимых компонентов – также промышленные компьютеры и серверы (5%), системы промышленного видеонаблюдения (4%), различные устройства полевого уровня, и РЗА.
Уязвимости в инженерном ПО
В число уязвимого инженерного ПО попали различные программные платформы для разработки HMI/SCADA-решений, инструменты для программирования контроллеров и прочее.
Зачастую проблемы безопасности инженерного ПО связаны с уязвимостями в стороннем ПО, которое используется в их составе. За счет широкого использования таких сторонних компонентов уязвимости в них могут затрагивать сразу множество промышленных продуктов. Так, например, Siemens Building Technologies Products и Siemens SIMATIC WinCC Add-On, оказались уязвимыми в связи с использованием в их составе уязвимой версии менеджера лицензий Sentinel LDK RTE. Целые линейки промышленных продуктов компании Siemens также оказались подвержены уязвимости в OpenSSL. Аналогично, уязвимости в программном обеспечении Flexera Publisher, которое входит в состав Floating License Manager, затронули сразу ряд продуктов компании Schneider Electric.
Кроме того, отдельное внимание стоит уделить уязвимостям в различных мобильных приложениях, которые используются инженерами и операторами для удаленного доступа к АСУ ТП с помощью смартфонов и планшетов под управлением операционных систем Android и iOS. Среди таких продуктов, в которых были обнаружены уязвимости, например, SIMATIC WinCC OA iOS App, IGSS Mobile, SIMATIC WinCC OA UI Mobile App, General Motors and Shanghai OnStar (SOS) iOS Client. Такие мобильные приложения все чаще используются в инфраструктуре АСУ ТП. Однако уровень их защищенности оставляет желать лучшего, что несет в себе большие риски: компрометация мобильных приложений может привести к компрометации всей инфраструктуры АСУ ТП.
Аналогичная проблема связана с внедрением в АСУ ТП облачных технологий. Так, в 2018 году среди уязвимых устройств оказались аппаратные IoT-шлюзы MindConnect Nano и MindConnect IoT2040, используемые для подключения промышленного оборудования к облачной платформе MindSphere компании Siemens.
Уязвимости в промышленных компьютерах и серверах
Проблемы безопасности, выявленные в 2018 году в промышленных компьютерах и серверах, главным образом, связаны с обнаруженными уязвимостями в процессорах ведущих производителей, включая уязвимости Meltdown и Spectre, а также Spectre Next Generation (Spectre-NG).
Еще одной уязвимостью, которая затронула сразу ряд промышленных компьютеров, стала RCE-уязвимость в Trusted Platform Module (TPM).
Это еще раз говорит о возможном влиянии уязвимостей в «традиционных» технологиях (не специфических для АСУ ТП уязвимостей) на промышленные системы.
Уязвимости в решениях по защите промышленных сетей
Помимо аппаратных и программных компонентов АСУ ТП, в 2018 году уязвимости были обнаружены в решениях по защите промышленных сетей: платформе управления доступом Nortek Linear eMerge E3 Series и устройстве сетевой безопасности Allen-Bradley Stratix 5950 от компании Rockwell Automation.
Случаи обнаружения уязвимостей в таких продуктах являются важным напоминанием, что угрозы безопасности могут быть реализованы за счет брешей безопасности не только в программных или аппаратных компонентах АСУ ТП, но и в решениях, используемых для их защиты.
Уязвимости, обнаруженные Kaspersky Lab ICS CERT
В 2018 году эксперты Kaspersky Lab ICS CERT продолжили начатые в прошлом году исследования проблем безопасности в сторонних программных и программно-аппаратных решениях, широко применяемых в системах промышленной автоматизации. Особое внимание было уделено продуктам с открытым исходным кодом, которые используются различными производителями в своих решениях. Иллюзия безопасности таких продуктов может повлечь за собой большое число жертв атак злоумышленников.
Количество найденных уязвимостей
По результатам исследований Kaspersky Lab ICS CERT, в 2018 году была выявлена 61 уязвимость в промышленных системах и системах IIoT/IoT.
Обо всех обнаруженных уязвимостях мы незамедлительно проинформировали производителей соответствующих продуктов.
Количество опубликованных CVE
В течение 2018 года на основании информации об обнаруженных Kaspersky Lab ICS CERT уязвимостях было опубликовано 37 CVE (некоторые CVE включают несколько уязвимостей). Отметим, что 15 из них были опубликованы после того, как вендоры закрыли уязвимости, информацию о которых получили еще в 2017 году. Информация об остальных уязвимостях, обнаруженных экспертами Kaspersky Lab ICS CERT, будет опубликована после их устранения.
Возможные последствия эксплуатации найденных уязвимостей
Эксплуатация 46% выявленных уязвимостей может привести к удаленному выполнению произвольного кода в целевой системе или отказу в обслуживании (DoS). Также значительная часть уязвимостей (21%) может позволить злоумышленнику обойти аутентификацию.
Оценка опасности обнаруженных уязвимостей
Для оценки опасности найденных уязвимостей использовалась собственная система градации уязвимостей, основанная на метрике стандарта CVSS v3.0 (Common Vulnerability Scoring System) и включающая следующие уровни критичности уязвимостей:
- наименее критичные: вес уязвимости не более 5.0 по CVSS v0;
- средней критичности: вес уязвимости от 5.1 до 6.9 включительно по CVSS v0;
- наиболее критичные: вес уязвимости 7.0 и более по CVSS v0.
Абсолютное большинство обнаруженных Kaspersky Lab ICS CERT уязвимостей, для которых в 2018 году были опубликованы CVE, по шкале CVSS v.3 имеют вес не менее 7.0 и относятся к группе наиболее критичных. При этом 7 уязвимостей получили по шкале CVSS v.3 максимальную оценку критичности 10 баллов. В их числе – уязвимости в стороннем программном обеспечении, кроссплатформенных решениях LibVNCServer и LibVNCClient.
Уязвимости в HMI
За прошедший год было выявлено 5 уязвимостей в HMI-решениях разных производителей. Типичные уязвимости: эскалация привилегий, выполнение произвольного кода, отказ в обслуживании.
Уязвимости в среде разработки ПЛК
Одним из направлений исследований стал анализ проблем безопасности, обусловленных использованием OEM-продуктов. Экспертами Kaspersky Lab ICS CERT было обнаружено 14 уязвимостей в CoDeSys Runtime – наиболее популярной среде разработки и исполнения кода программ для ПЛК, которая используется по всему миру в более чем 4 миллионах устройств от более чем 400 компаний – разработчиков систем промышленной автоматизации. Проблемы безопасности были выявлены как на уровне архитектуры, так и на уровне реализации сетевого протокола.
Уязвимости в сторонних программных решениях
В рамках исследования проблем безопасности в сторонних программно-аппаратных решениях экспертами Kaspersky Lab ICS CERT был проведен поиск уязвимостей в LibVNC – единственной кросс-платформенной библиотеке, которая реализует протокол удаленного доступа VNC и широко применяется различными производителями программных решений промышленной автоматизации.
Применение любых утилит на базе уязвимой библиотеки LibVNC и решений, при разработке которых использовалась эта библиотека, значительно снижает уровень защищенности инфраструктуры АСУ ТП и влечет за собой серьезные риски для промышленных сетей.
Кроме того, 6 уязвимостей было выявлено в одном из популярных менеджеров лицензий. В настоящее время эксперты «Лаборатории Касперского» совместно с производителем ведут работу по устранению этих уязвимостей.
Уязвимости в компонентах Интернета вещей (IoT и IIoT)
Помимо исследований компонентов АСУ ТП и программных платформ, используемых для их разработки, эксперты Kaspersky Lab ICS CERT в 2018 году продолжили изучение состояния ИБ компонентов Интернета вещей (IoT), в том числе IIoT (Industrial Internet of Things).
Были обнаружены:
- 7 уязвимостей в IIoT-шлюзе ThingsPro Suite от компании Moxa;
- 3 уязвимости в контроллерах автоматизации Zipabox, используемых в системах домашней автоматизации.
Актуальные угрозы
Фишинговые атаки на нефтяные компании
Основным вектором атак на промышленные компании по-прежнему является рассылка фишинговых писем с вредоносными документами. За последние несколько лет для офисных компьютеров индустриальных компаний эта угроза стала рутиной.
Мы видим множество тщательно подготовленных фишинговых писем, отправляемых якобы от имени реально существующих компаний и замаскированных под деловую переписку (коммерческие предложения, приглашения на участие в тендере и т.п.). Более того, нами выявлены случаи использования в фишинговых письмах легитимных документов, которые, по всей видимости, были заранее украдены фишерами для последующего развития атаки.
Как правило, конечная цель фишинговых атак – кража денег. Однако нельзя исключить, что среди массовых рассылок могут быть спрятаны и целевые атаки, замаскированные под «обычный» индустриальный фишинг.
Как мы видим по нашей статистике, вредоносные вложения из фишинговых писем представляют угрозу не только для офисных компьютеров, но и для части машин технологической инфраструктуры промышленных компаний. По нашим оценкам, как минимум на 4,3% компьютеров АСУ в мире были задетектированы троянцы-шпионы, бэкдоры и кейлоггеры, которые массово встречаются в фишинговых письмах, рассылаемых индустриальным компаниям.
Детектируемые объекты
Во втором полугодии 2018 года в мире продукты «Лаборатории Касперского» предотвратили вредоносную активность на 40,8% компьютеров АСУ. По сравнению с первым полугодием мы наблюдаем незначительное изменение этого показателя – снижение на 0,37 п.п.
Доля компьютеров АСУ, на которых была предотвращена вредоносная активность, в 2018 году превышает аналогичный показатель 2017 года по всем месяцам.
Вредоносное ПО
Во втором полугодии 2018 года защитными решениями «Лаборатории Касперского» на системах промышленной автоматизации было задетектировано более 19,1 тысяч модификаций вредоносного ПО из 2,7 тысяч различных семейств.
География атак на системы промышленной автоматизации
На карте ниже отражен процент систем промышленной автоматизации в каждой стране, на которых были задетектированы вредоносные объекты, по отношению к общему количеству таких систем в стране.
В рейтинге стран по проценту компьютеров АСУ, на которых была предотвращена вредоносная активность, список стран из первой пятёрки остался без изменений по сравнению с первым полугодием 2018 года. Тунис и Марокко поменялись местами, заняв 3-е и 4-е места, соответственно. Казахстан занимает 15-ю строчку рейтинга.
Доля машин АСУ, на которых была предотвращена вредоносная активность, значительно различается в разных регионах мира, по данному показателю традиционно лидируют Африка, Центральная, Юго-Восточная и Южная Азия.
Источники заражения
Интернет стал источником угроз, заблокированных на 26,1% компьютеров АСУ, с которых мы получаем обезличенную статистику. По сравнению с первым полугодием 2018 года этот показатель незначительно уменьшился. При этом мы наблюдаем небольшой рост процента компьютеров АСУ, на которых были заблокированы вредоносные почтовые вложения. Другие показатели по основным источникам угроз остались на уровне прошлого полугодия.
Основные источники угроз в регионах – съемные носители
Максимальный процент компьютеров АСУ, на которых были заблокированы угрозы при подключении съемных носителей, отмечен в Африке, Центральной, Южной и Юго-Восточной Азии. При этом в Северной Америке, Австралии и Северной Европе этот показатель – минимальный.