Актуальные киберугрозы для автоматизированных систем управления технологическим процессом: динамика и причины

Системы АСУ ТП, позволяющие автоматизировать управление производственными процессами, сегодня широко применяются в энергетике, промышленности, сельском хозяйстве, на транспорте и во многих других отраслях. Эти критические компьютерные системы все чаще привлекают злоумышленников. Так, в 17% случаев основными целями кибератак первой половины 2024 года в мире были промышленные предприятия. Геннадий Перминов, ведущий консультант направления кибербезопасности RTM Group, расскажет об актуальных киберугрозах АСУ ТП в 2025 году.

Почему это важно

Нарушение работы АСУ ТП может привести не только к утечке данных, как в случае с другими ИС, но и к реальной остановке производства, прекращению предоставления жизненно важных услуг и ресурсов, угрозам экологии и даже жизни людей. При этом структура атак на такие объекты значительно отличается от структуры кибератак в целом.

Самая большая угроза - шифровальщики

По различным оценкам, за последние четыре года использование вредоносного ПО стало причиной 80% успешных атак на АСУТ ТП в России. В 42% случаев применялись инфостилеры, в 37% — вредоносное ПО для удаленного управления.

Каждая пятая (22%) атака на организации с использованием вредоносного ПО приходится на долю шифровальщиков, из которых 88% имеют финансовую мотивацию.

В целом, чаще всего жертвами вымогателей становятся именно промышленные и производственные предприятия — 21% от всех атак шифровальщиков.

Это связано с тем, что предприятия стараются не допускать негативных последствий от атак и скорее заплатят выкуп преступникам, чем пойдут на риски. Кроме того, считается, что производственные предприятия в большей степени сосредоточены на технологических процессах и в меньшей - на вопросах информационной безопасности, в сравнении, например, с финансовым сектором.

Особенностью российского сегмента является то, что в нашей стране рост таких атак идет несколько медленнее, чем во всем мире. Хотя и у нас шифровальщики становятся виновниками большинства инцидентов.

Почему в России инцидентов меньше? Это связано с несколькими причинами:

• во-первых, благодаря импортозамещению российские компании переходят на использование отечественного ПО, лишенного тех уязвимостей, которые эксплуатируются во всем остальном мире. Преступникам искать такие специфические баги слишком дорого;
• во-вторых, хакеры считают российские предприятия менее платежеспособными в сравнении с зарубежными. Это так же снижает интерес международных хакерских группировок.

Но не стоит заблуждаться: в связи с нестабильной международной обстановкой российские предприятия могут стать жертвами целенаправленных атак, не связанных с финансовой выгодой. Кроме того, несмотря на замедленный рост, Россия находится на 3-м месте среди других регионов по доле компьютеров АСУ ТП, на которых были заблокированы угрозы из интернета (11,9%, в среднем по миру — 11,3%). Да и в такие атаки уже поставлены на поток.

В нашей стране имело место несколько ярких инцидентов. Один из них – атака вируса-шифровальщика в 2024 году на одного российского оператора доставки грузов, которая парализовала работу компании на несколько дней. Другим примером использования вредоносного ПО является атака на инфраструктуру ГАС «Правосудие» и ВГТРК в октябре 2024 года.

Перечислим основные методы предотвращения угроз, связанных с использованием вредоносного ПО:

• обязательное использование и своевременное обновление средств антивирусной защиты;
• разделение сети на сегменты с различными уровнями доступа, что затрудняет распространение вирусов в значимые подсистемы;
• регулярное резервирование критичных данных, которые могут быть восстановлены в случае атак вирусов-шифровальщиков;
• применение систем обнаружения и предотвращения вторжений (IPS/IDS) для мониторинга сети и активностей на устройствах, чтобы вовремя выявлять и реагировать на аномалии, характерные для атак;
• передачу данных из ограниченных сегментов осуществлять с использованием архитектуры однонаправленных сетей;
• постоянное повышение осведомленности сотрудников по вопросам информационной безопасности, включая тренинги и социотехническое тестирование.

(Не)известные уязвимости

Около 75-80% устройств АСУ ТП, находящихся в эксплуатации, имеют известные уязвимости, из них 45-50% уязвимостей не поддаются исправлению ввиду использования на предприятиях неподдерживаемых систем.

Возьмем, например, программируемые логические контроллеры (ПЛК). Их наличие является еще одной отличительной особенностью АСУ ТП. ПЛК по сути – это компьютеры с собственными операционными системами, прошивками и программами, которые непосредственно взаимодействуют с производственным оборудованием и влияют на его работу – управляют давлением, температурой, оборотами двигателей и так далее.

Как и любые другие компоненты, ПЛК могут иметь уязвимости, позволяющие злоумышленнику несанкционированно изменять конфигурации ПЛК, манипулировать выходными данными, внедрять бэкдоры, инициировать DoS-атаки и так далее.

Учитывая тот факт, что в России до сих пор серьезной проблемой остается доступность интернета с компьютеров АСУ, это повышает потенциальную эффективность атак. Попытки изменения статусов устройств АСУ ТП занимали второе место в структуре атак на АСУ ТП в России в 2023 году.

То, что в настоящее время интерес хакеров к этому сегменту снижен, не решает проблему уязвимостей ПО. Как оставшегося в эксплуатации зарубежного, так и отечественного. Особенно учитывая тот факт, что решения иностранных вендоров, оставшиеся без поддержки, перестали получать обновления. А это неизбежно приводит к уязвимостям или затратам на компенсирующие меры.

Кроме того, хотя поддержание версий ПО в актуальном состоянии — важная задача, но часто может быть связана с необходимостью временно останавливать технологические процессы, а это не всегда возможно. Кроме того, процесс обновления требует дополнительного тестирования, которое не всегда реально осуществить. Не говоря уже о сложных процедурах документального оформления внесенных изменений.

БДУ ФСТЭК России и база данных уязвимостей CVE MITRE постоянно пополняются описаниями новых уязвимостей среди прикладного ПО, которое используется на объектах АСУ ТП.

Например, за первые 10 месяцев 2024 годя в базе данных уязвимостей CVE MITRE зарегистрировано 817 новых уязвимостей, связанных с внедрением кода, позволяющих злоумышленнику заставить приложение выполнять в системе нужные ему действия. Это впервые обнаруженные уязвимости ПО, для которых еще не созданы исправления или защитные механизмы. Наличие такой проблемы безопасности в отдельном компоненте АСУ ТП может спровоцировать падение всей системы, а в некоторых случаях привести к катастрофическим последствиям для населения и страны. К сожалению, на рынке уязвимостей нулевого дня в даркнете такие найти можно - вопрос времени и денег.

Компрометация учетных данных

Учетные данные могут быть скомпрометированы различными путями, включая:

• получение доступа к легитимным учетным записям с помощью упомянутых ранее стилеров;
• эксплуатация уязвимостей в ПО для доступа к учетным данным пользователей;
• подбор паролей;
• фишинговые атаки на сотрудников;
• атаки на цепочки поставок, когда целевая организация подвергнута риску компрометации со стороны «небезопасного» контрагента, а не напрямую.

При этом злоумышленники не всегда могут (или, хотят) доводить атаку до логического завершения. Иногда им нужно лишь заработать на продаже скомпрометированных учетных данных.

Анализ тематических форумов в даркнет показывает, что на продажу могут предлагаться различные типы и уровни доступа:

• RDP с правами администратора домена – 33% предложений;
• RDP с правами локального администратора – 25% предложений;
• RDP с правами пользователя – 13% предложений;
• VPN/сетевой доступ – 8%;
• доступ к Citrix – 1%;
• командная оболочка для удаленного управления веб-сервером – 1%;
• данные для SQL-инъекций – 1%;
• доступ к панели хостинга – 0,8%.

Стоимость зависит от многих параметров, включая выручку компании, тип доступа, прав доступа, сферы деятельности организации и составляет от нескольких тысяч до нескольких миллионов долларов США.

Регулярный анализ утечек в рамках проведения OSINT и TI позволит своевременно обнаружить утечку учетных данных и своевременно принять защитные меры, пока не стало поздно.

Для защиты от компрометации учетных данных рекомендуются следующие меры:

• использование механизмов MFA;
• применение модели управления доступом на основе ролей и принципа минимальных привилегий, чтобы каждый пользователь имел доступ только к тем данным и функциям, которые необходимы для выполнения его обязанностей;
• внедрение систем UEBA и выявляющих аномалии, такие как необычные попытки входа, скачки в уровне доступа или подозрительная активность;внедрение технологий DLP для отслеживания и предотвращения утечек данных, в том числе, учетных;
• использование сервисов мониторинга даркнета для отслеживания упоминаний корпоративных учетных данных или доступов к системам АСУ ТП, чтобы оперативно реагировать на угрозу.

Социальная инженерия

Хотя в общей структуре кибератак на Россию социальная инженерия занимает одно из первых мест, но в случае с АСУ ТП она уступает другим методам, находясь на последнем – 29% атак. Вероятно, это обусловлено лучшей осведомленностью персонала, обслуживающего АСУ ТП, в сравнении с другими отраслями.

Следует помнить, что самая совершенная система защиты информации не устоит перед ошибками пользователей, слабыми паролями, несоблюдением политики безопасности, низкой квалификацией персонала, совершающего ошибки и действия, после которых система защиты теряет актуальность.

Сейчас при создании фишинговых сообщений злоумышленники все активнее используют возможности нейросетей. Это позволяет создавать все более убедительные персонализированные сообщения под конкретные особенности функционирования без особых проблем. И актуальность угроз социальной инженерии едва ли уменьшится в обозримом будущем.

Итог

АСУ ТП с точки зрения защиты информации имеют как общие черты с другими ИС, так и особенности, связанные со сложностями своевременного обновления ПО, наличием дополнительного уязвимого класса устройств — программируемых логических контроллеров, иной структурой кибератак и более тяжелыми последствиями успешных инцидентов.

Количество атак на АСУ ТП неизменно растет, при этом их структура из года в год сохраняется. Ключевая особенность данных систем от других является меньшая подверженность атакам социальной инженерии, но гораздо большая атакам, связанным с эксплуатацией уязвимостей устройств. Но с развитием ИИ ситуация может измениться.

Максимальная изоляция компонентов АСУ ТП, а при ее невозможности – грамотная сегментация, внедрение многофакторной аутентификации, построение многозвенной системы защиты с некоторым дублированием функций защиты, регулярный анализ уязвимостей, обучение персонала и анализ утечек в рамках TI должны свести вероятность компьютерных инцидентов на объектах АСУ ТП к минимуму.