Программы-вымогатели, обученные на производственных предприятиях, возглавляли кибератаки в промышленном секторе



Поскольку операторы промышленных сетей и их группы безопасности работают в режиме повышенной готовности из-за опасений по поводу потенциальных разрушительных атак со стороны российских хакерских групп, контролируемых государством, на фоне эскалации кризиса на Украине и санкций США против России, реальностью для большинства из них стал болезненный всплеск. в атаках программ-вымогателей за последний год.

Реальные расследования инцидентов, проведенные в 2021 году командами Dragos и IBM X-Power, в подавляющем большинстве случаев показали, что самой горячей целью операционных технологий (OT) является производственный сектор, и теперь основным оружием, атакующим эти организации, являются программы-вымогатели. Две группы программ-вымогателей, Conti и LockBit 2.0, осуществили более половины всех атак программ-вымогателей на промышленный сектор, 70% из которых были нацелены на производственные фирмы, что сделало производство OT-индустрии номер 1, пострадавшим от программ-вымогателей в прошлом году, согласно недавно опубликованному отчету. опубликован отчет Драгоша.

Хотя атаки программ-вымогателей Colonial Pipeline и JBS были самыми громкими в этом секторе, были и другие, которые не стали достоянием общественности. «Значительное количество случаев остается незарегистрированным… многие просто не попадают в новости», — говорит Роб Ли, основатель и генеральный директор Dragos, которая в прошлом году отреагировала на 211 случаев атак программ-вымогателей на производственные фирмы.

Это сомнительное отличие для обрабатывающей промышленности не должно вызывать удивления: за последние два года этот сектор все больше подвергался кибератакам, особенно когда банды вымогателей начали пользоваться усилением давления на производителей во время пандемии.

«Они всегда нацелены на отрасли или организации, находящиеся под давлением, потому что давление приводит к лучшим результатам или оплате за них», — говорит Чарльз ДеБек, старший аналитик по киберугрозам в IBM Safety X-Power. Производственные компании, как правило, не могут позволить себе простои, и пандемия еще больше сжала их, поскольку цепочки поставок замедлились.

Согласно случаям реагирования на инциденты (IR), расследованным IBM X-Power, более 60% инцидентов в фирмах OT в прошлом году были против производителей, а производство превзошло финансовые услуги как самая атакованная вертикаль (23,2%), расследованная X-. Группа реагирования на инциденты Power в прошлом году. На программы-вымогатели приходилось 23% этих атак.

Но относительно «хорошая» новость заключалась в том, что большинство атак было совершено на ИТ-сети в промышленном секторе, и лишь немногие — на их OT-сети. «ИТ-сети — это хорошо протоптанная почва, и многие [attackers] знать, как [target them]”, – говорит ДеБек.[Direct] Атаки OT не так распространены».

Это связано с тем, что злоумышленнику требуется время, чтобы собрать информацию о сети OT и промышленных процессах, которые в ней выполняются. По словам Драгоса, группе угроз требуется около трех-четырех лет, чтобы собрать достаточно информации о сети OT-жертвы, чтобы провести на нее серьезную атаку. Но Ли отмечает, что несколько групп угроз, которые Драгос отслеживал в течение последних пяти лет, находятся «в пределах этого окна» и могут вывести свои атаки на следующий подрывной или разрушительный уровень.

В прошлом году Dragos также обнаружил три «новые» группы угроз, с которыми он ранее не сталкивался в OT. Он назвал их костовитом, петровитом и эритритом. И Костовит, и Эритрит проникли в сети ОТ жертв.

Kostovite фокусируется на возобновляемых источниках энергии в Северной Америке и Австралии. Он проник в инфраструктуру OT крупной компании по эксплуатации и техническому обслуживанию, взломав компанию, воспользовавшись уязвимостью нулевого дня в безопасном VPN Ivanti Pulse Attach для удаленного доступа. Фирма, имя которой Драгос не назвал, обслуживает и эксплуатирует системы SCADA для ветряных и солнечных электростанций в США и Австралии. Злоумышленники проникли на серверы мониторинга и контроля фирмы.

«Они скомпрометировали фирму O&M, развернулись и проникли в сети OT многочисленных объектов и электростанций в США и Австралии», — сказал Ли во время брифинга для прессы по отчету Драгоса.

Чтобы оставаться незамеченными, хакеры использовали только законные резидентные инструменты в сети жертвы, похитив учетные данные, а затем переключились на сети OT некоторых клиентов фирмы. По словам Драгоса, MO и тактика, методы и процедуры (TTP) Костовита совпадают с таковыми китайской APT, получившей название UNC2630 от Mandiant.

Но в отличие от традиционных китайских APT-групп, у Kostovite было больше, чем кража интеллектуальной собственности или кибершпионаж: злоумышленники находились на серверах, которые могли, например, отключить выработку электроэнергии. «Это было не просто проникновение, чтобы украсть интеллектуальную собственность», — сказал Ли. «Основываясь на нашем анализе, все указывает на долгосрочный доступ для будущих подрывных действий».

«Это выглядит настолько близко, насколько мы были в течение длительного времени, к противнику, который имеет намерение совершить какие-то разрушительные действия», — пояснил Ли. Тем не менее, Ли сказал, что фирма O&M быстро отреагировала, как только атака была обнаружена, и «никогда не было реального риска для людей», сказал он. Злоумышленники находились в сети фирмы O&M примерно за месяц до того, как Dragos выполнил задание по связям с инвесторами.

«Это был самый тревожный случай для Драгоса», — сказал Ли. По его словам, риску могли подвергнуться «один поставщик и несколько энергетических компаний в разных странах».

Тем временем Erythrite, по-видимому, представляет собой новую группу угроз, которая преследует поставщиков продуктов питания и напитков, электроэнергии, нефти и газа и ИТ-услуг из списка Fortune 500, которые поддерживают, например, промышленный сектор, по словам Драгоса. По словам Ли, на данный момент около 20% компаний из списка Fortune 500 подверглись атакам со стороны этой группы, в том числе одна, чья сеть OT была скомпрометирована.

«Он постоянно пытается проникнуть в ИТ-сети различных промышленных фирм», — сказал он. Erythrite также использует отравление search engine optimization, искусственно повышая рейтинг поисковых систем веб-сайтов, на которых размещено его вредоносное ПО, — для своего первоначального вектора атаки и имеет некоторое сходство с Solarmarker.

Недавняя кампания Solarmarker, обнаруженная Menlo Safety, использовала более 2000 уникальных поисковых запросов, которые заманивали пользователей на сайты, которые затем сбрасывали вредоносные PDF-файлы, оснащенные бэкдорами.

Драгос также сообщил о новой группе, которую они называют Petrovite, которая собирает информацию о системах ICS и OT в горнодобывающих и энергетических операциях в Казахстане и Центральной Азии.

Вы не можете защитить то, чего не видите
Все еще распространенной проблемой, преследующей промышленные организации — и действительно многие организации в каждом секторе — является неспособность получить полную и четкую картину их сетевых систем и возможных открытых и уязвимых портов входа для злоумышленников. Согласно его отчету, около 86% организаций, которым помогал Dragos, практически не имели представления об их средах OT. Среди их факторов риска были плохая сегментация сети (77 % организаций), внешние подключения к их системам ICS (70 % организаций) и общие учетные данные между ИТ- и OT-системами (44 % организаций).

По словам Драгоса, многие из этих организаций считают, что они правильно сегментировали свои OT- и ИТ-сети и что у них нет неизвестных сетевых подключений. “Но они [do and] и злоумышленники с программами-вымогателями быстро этим пользуются», — например, сказал Ли.

IBM X-Power обнаружила значительный всплеск интернет-сканирования подключений через TCP-порт 502 — увеличение на 2204% — в период с января 2021 года по сентябрь 2021 года. Этот порт используется Modbus, промышленным протоколом связи между шинами, сетями и программируемыми логическими контроллерами. .

«Вы должны убедиться, что ваши OT-устройства заблокированы, — говорит ДеБек из IBM X-Power. «Актеры угрозы ищут» их, говорит он.

По его словам, это означает тестирование безопасности вокруг этих устройств, в том числе проведение тестов на проникновение, чтобы попытаться опередить злоумышленников.

https://cyberxhack.org/