Киберпреступники уже проникли в энергетические компании США

  • 28-12-2020
  • комментариев

Градирни электростанции Лимерик, атомной электростанции в Поттстауне, штат Пенсильвания. STAN HONDA / AFP / Getty Images

В новом отчете Symantec о вторжениях в энергетические компании США и Европы выделяются два факта. Во-первых, злоумышленники проводят кампании по получению доступа к этим системам критически важной инфраструктуры, по крайней мере, с 2015 года. Во-вторых, злоумышленники не использовали никаких уязвимостей нулевого дня для проникновения.

Нулевой день - это обнаруженная уязвимость. но никогда не использовался, поэтому маловероятно, что кто-либо наблюдает за нарушениями, используя эту конкретную уязвимость.

«Энергетический сектор в Европе и Северной Америке подвергается новой волне кибератак, которые могут предоставить злоумышленникам средства для серьезного нарушения операций », - начинает свой отчет Symantec с записи.

Компания не раскрывает, какие объекты были скомпрометированы в результате обнаруженных ею нарушений, а также сколько различных компаний смогли получить доступ злоумышленники. В нем говорится, что он работал с каждым, чтобы устранить вредоносное ПО и принять меры против взлома. Компания также обновила свое программное обеспечение, чтобы помочь в автоматическом обнаружении подобных атак.

В июне Wired опубликовала обширный отчет об атаках на энергосистему Украины. Эти атаки рассматривались как часть более крупных боевых действий между Россией и Украиной, но также потенциально как генеральная репетиция атак, которые могут быть проведены в других частях мира, например, против главного противника России за последнее столетие, Соединенные Штаты.

В этом отчете содержится предупреждение, что энергосистема США может быть несколько более уязвима, чем украинская. С одной стороны, энергетическая инфраструктура здесь имеет более сильную цифровую защиту, чем аналогичные системы на Украине. С другой стороны, поскольку здесь инженеры стали настолько полагаться на автоматизацию, они, возможно, не так хорошо разбираются в переключении на ручное управление, когда и если это необходимо.

На Украине, когда киберпреступники отключают электричество удаленно, местные инженеры смогли восстановить подачу электроэнергии за несколько часов, отключив автоматизацию и запустив ее вручную.

В этих крупномасштабных системах ставки могут быть значительно выше, чем просто включить свет или выкл. В 2007 году одна из национальных лабораторий Министерства энергетики продемонстрировала, как полностью цифровая атака на генератор может на самом деле уничтожить устройство, посылая инструкции в последовательности, которая вызывает насильственный выход из строя.

Известно, что Stuxnet, кибероружие, которое, как считается, было разработано США и / или Израилем, разрушало ядерные центрифуги в Иране, заставляя их вращаться так быстро, что они разваливались.

Symantec отказалась указать причину неисправности. атака на конкретное национальное государство с указанием лишь того, что эксплойт представляет собой обновленную версию эксплойта, наблюдаемого компанией в 2014 году и отнесенного к группе, которую она называет «Dragonfly». Некоторые аспекты кода и вредоносных файлов включали слова на французском и русском языках.

В отчете Symantec описываются только нарушения. Он не описывает никаких доказательств реальных атак на эти объекты. Похоже, что киберпреступники просто получили доступ к системам, создали несколько бэкдоров, чтобы обеспечить постоянный доступ, и провели сбор разведданных, чтобы подготовиться к возможной операции.

По крайней мере в одном случае злоумышленники проникли достаточно глубоко. внутри системы, чтобы он мог делать снимки экрана своих административных элементов управления. Такое поведение свидетельствует о том, что дисциплинированная организация стремится к достижению долгосрочных стратегических целей по сравнению с краткосрочными целями.

Symantec обнаружила свидетельства нескольких векторов атак, используемых для защиты учетных данных сотрудников на этих объектах.

Один. была простой фишинг-атакой. Персоналу были отправлены электронные письма с приглашениями на новогоднюю вечеринку, но ссылка вела на взломанный сайт.

Другой была атака на водопой. В этой атаке преступники ищут веб-сайты, которые посещают многие люди из целевой группы. Эти вторичные сайты могут быть менее безопасными, чем целевая группа, но, взломав веб-сайт, злоумышленники могут внедрить вредоносное ПО на целевую машину.

Symantec отмечает это, поскольку злоумышленники использовали комбинацию известных стратегий для получить доступ к этим важнейшим объектам инфраструктуры, что может указывать на то, что у группы нет богатых ресурсов. Например, злоумышленники никогда не использовали «нулевой день» - самое современное оружие, которое есть у киберпреступников. Нулевые дни быстро теряют ценность после того, как они были использованы, поскольку затронутые компании сообщают о новой уязвимости, и выпускаются патчи для защиты уязвимости.

Тот факт, что хакеры никогда не использовали нулевой день, может быть признаком невероятного Resources, а также. Он демонстрирует организацию, обладающую глубиной и терпением, чтобы медленно и методично исследовать уязвимости, не сжигая свои самые ценные активы. Тот факт, что злоумышленники, похоже, никогда не использовали свой доступ для вымогательства в пострадавших компаниях, еще раз подтверждает этот вывод.

В своих лучших практиках Symantec рекомендует руководству критически важной инфраструктуры требовать от персонала использования двухфакторной аутентификации. Используя два ключа для доступа к системам, не имеет значения, удастся ли злоумышленнику каким-то образом украсть пароль цели, потому что этого недостаточно для доступа к системе. Второй ключ обычно - это что-то, что меняется, например, код, отправленный по SMS или через приложение, или что-то физическое, например Yubikey.

Более чем тревожно, что американским предприятиям требовалось это напоминание. < / p>

комментариев

Добавить комментарий