Solutii de securitate si supraveghere, Stiri

Internet of Things sau Internet of Threats?

19 May 2020

 

Sistemele SCADA (Supervisory Control and Data Acquisition) sunt ținte tot mai frecvent vizate de către hackerii care manifestă un interes în creştere pentru mediile industriale. Atacurile devin sofisticate și nu mai vizează doar servere sau computere, ci și sisteme de monitorizare si control, interfete HMI, controlere PLC, stații de lucru industriale etc.

Recent, The Hacker News  a anunțat depistarea unei campanii malware care vizează sectorul energetic din Azerbaidjan. Infectarea inițială se realizează prin intermediul unor documente Microsoft Word care conțin informații despre nivelul infectării cu coronavirusul SARS-CoV-2 (*).

Odată deschise documentele – capcană, prin executarea automată a unui script macro VBS se activează troianul „PoetRAT“ (RAT = Remote Access Trojans), prin intermediul căruia hackerii pot accesa de la distanță fișiere de pe stațiile de lucru compromise, date de logare ale utilizatorilor și chiar imagini capturate prin intermediul camerelor video integrate. Ca orice amenințare RAT de nouă generație, troianul este protejat împotriva soluțiilor tradiționale de securitate care l-ar putea detecta și poate păcăli până și sistemele sandbox.

Spre deosebire de marea masă a amenințărilor de acest tip, ținta vizată de „PoetRAT“ sunt sistemele SCADA din industria energetică, vizând în principal parcurile de turbine eoliene potrivit experților Cisco.

 

Sistemele industriale, o țintă tot mai vizată

„PoetRAT“ nu este un caz singular, ci doar cel mai recent membru al unei categorii de amenințări malware specializate care exploatează vulnerabilitățile sistemelor informatice industriale și ale produselor IIoT (Industrial Internet of Things). Primul și cel mai cunoscut exponent al acestei clase rămâne însă „veteranul“ Stuxnet, folosit în urmă cu 10 ani pentru a sabota programul nuclear iranian, prin atacarea sistemelor SCADA ale centralei de la Natanz.

Stuxnet, ca și WannaCry sau NotPetya, se bazează în principal pe exploatarea vulnerabilităților software, „aspect“ pe care încă destul de multe organizații îl ignoră. De exemplu, deși au trecut 3 ani de la cel mai mare atac informatic din istorie care au făcut victime și în România, WannaCry continuă să facă victime. Conform datelor Kaspersky ICS CERT, în 2019 35% dintre calculatoarele utilizate în sisteme informatice industriale au fost infectate de acest troian.

Într-un astfel de caz, vina revine în mod evident organizațiilor – victimă care nu au aplicat măsurile corective necesare, publicate de Microsoft încă de dinainte de declanșarea atacului din 2017. Potrivit raportului Threat landscape for industrial automation systems“, o treime din vulnerabilitățile care afectau anul trecut sistemele informatice din mediul industrial se datorau exclusiv producătorilor respectivelor sisteme.

Analiza specialiștilor Kaspersky a mai indicat faptul că în peste 30% din cazuri exploatarea acestor vulnerabilități permite hackerilor să preia controlul de la distanță asupra soluțiilor IIoT utilizate, iar în aproximativ 15% din situații facilitează lansarea unor atacuri de tipul Denial-of-Service (DoS).

Potrivit aceleiași surse, cele mai expuse componente din sistemele informatice industriale sunt aplicațiile software dedicate de inginerie, echipamentele de rețelistică, sistemele SCADA și interfețele HMI (Human-Machine Interface). Totodată, principalele ținte vizate sunt organizații din sectorul energetic, cel de producție critică, furnizori de utilități, instituții din sistemul public de sănătate, sisteme de transport, industria producătoare de mașini, instituții din administrația publică centrală etc.

Anul acesta, vom asista la o creștere semnificativă a numărului de victime ale amenințărilor care vizează sistemele informatice industriale. Fenomenul este alimentat, pe de o parte, de creșterea volumului atacurilor de acest tip, iar pe de alta de faptul că, în 2020, numai în mediul enterprise și automative vor fi utilizate cu 21% mai multe produse IIoT decât în 2019, conform estimărilor Gartner.

Ce înseamnă Kaspersky Industrial CyberSecurity?

Riscurile de securitate la care sunt expuse sistemele informatice industriale, soluțiile IIoT, dar și produsele IoT destinate uzului casnic nu reprezintă însă o noutate absolută. Încă de acum 5 ani, Eugene Kaspersky avertiza asupra pericolelor pe care le poate genera un simplu frigider inteligent sau un Smart TV, enunțând celebrul verdict “Internet of Things? I call it Internet of Threats” în cadrul unei apariții la NBC News.

De atunci, Kaspersky a dezvoltat un portofoliu extins de soluții de securitate destinate protejării mediilor industriale, care acoperă de la echipamente SCADA, interfețe HMI și controlere PLC, până la stații de lucru industriale, componente de networking și servere.Tehnologiile utilizate de soluțiile din gama Kaspersky Industrial CyberSecurity asigură atât protecția echipamentelor finale, cât și depistarea proactivă a breșelor, precum și a comportamentelor anormale, cu potențial de risc. Companiile pot astfel depista și bloca în timp util nu doar amenințările malware, ci și potențiale vulnerabilități, erori – comise intenționat sau nu – care pot duce la downtime-uri neplanificate, tentative de fraudă inițiate din interior, acțiuni de spionaj industrial etc.

Eficiența soluțiilor Kaspersky Industrial CyberSecurity a fost confirmată nu doar de către clienții finali tot mai numeroși, ci și de companii de analiză de renume, precum Gartner, Forrester Research sau ARC Advisory.

Nu în ultimul rând, soluțiile Kaspersky de securitate industrială se remarcă prin nivelul de accesibilitate crescut și simplitatea în utilizare. Specialiștii NOD vă pot ajuta să valorificați aceste avantaje competitive în favoarea clienților voștri, oferindu-vă tot suportul tehnic necesar.

______________________

* – Campanii malware care exploatează tema COVID-19 s-au derulat și în România în luna martie, potrivit datelor Centrului Național de Răspuns la Incidente de Securitate Cibernetică

© 2020 NOD Academy