Полет дракона над АЭС

28.09.2017

20 миллионов долларов на кибербезопасность подведомственных объектов выделило Министерство энергетики США, само ставшее жертвой хакеров

Чтобы повысить защищенность и гибкость отраслевой инфраструктуры, Минэнерго США намерено потратить около $50 млн. На информационную безопасность пойдет 40% от этой суммы.

Ассигнования получат 20 исследовательских лабораторий. Им предстоит решить ряд важнейших вопросов — от использования квантовых технологий в системах распределения криптографических ключей до оценки перспектив блокчейна в энергетике. Есть и более привычные направления — минимизация последствий вирусных атак, новые методики сканирования ИТ-систем объектов энергетики на предмет обнаружения уязвимостей, повышение устойчивости функционирования этих систем и т.д.

На инвестиции чиновников подвиг всплеск активности киберпреступников. Всплеск был зафиксирован в начале сентября, под ударом в первую очередь оказались энергетические объекты США, Швейцарии и Турции. Американская пресса по привычке начала обвинять Россию, но корпорация Symantec «русский след» в действиях хакеров не подтвердила. Что же произошло на самом деле?

Дракон? Троян! И другие фантастические твари

Сентябрьские угрозы принято связывать с оживлением деятельности группировки Dragonfly. Первые упоминания о ней относятся к 2011 году; в течение последующих трех лет наблюдалось относительное затишье, сменившееся новыми приступами активности. У «драконов» нынешних и шестилетней давности много общих черт: опора на бэкдоры, трояны, фишинговые электронные письма, а также методы социальной инженерии. Изменилась номенклатура видов зловредного ПО (оно и понятно — сколько времени прошло) и география атак. Нынешние цели упоминались выше, ранее особым вниманием Dragonfly пользовались Иран, Саудовская Аравия, Украина.

Рандеву у водопоя

Об одной атаке — watering hole — следует сказать особо. Здесь поведение злоумышленника в точности копирует методику охоты африканских хищников. Самые умные из них не напрягаются, рыская в поисках пропитания по жаре в непроходимых джунглях, а нежатся в тени у водопоя, куда будущая жертва, понукаемая жаждой, приходит сама и успешно съедается.

Злоумышленник выясняет, какие сайты пользуются особой популярностью у сотрудников атакуемых предприятий, внедряет в код страниц этих сайтов зловредные скрипты и либо ждёт новых визитов на зараженные сайты, либо по электронной почте рассылает призывы зайти на них.

В нашем случае злоумышленники, формируя контент своих писем, проявляли завидную компетенцию в вопросах энергетики и управления бизнесом, а также любезно приглашали на вечеринку по поводу Нового года (хорошо еще, что в США официально не отмечают День энергетика). Переходил ли получатель письма по ссылке на инфицированный сайт или же открывал приложенный к посланию файл, финал был одинаковым: заражение с последующим перехватом информации о полномочиях пользователя и/или установкой на его компьютере дистанционно управляемого бэкдора. Отличием атак 2016-2017 гг. стало распространение трояна, маскирующегося под файл обновления флеш-плейера.

Медведь в волчьей яме

Точно оценить масштаб действий Dragonfly пока сложно. Сообщалось минимум о 20 проникновениях в информационные сети энергетических компаний; официально подтверждена, в частности, успешность атаки на АЭС Wolf Creek («Волчья яма») в штате Канзас. Но на лавры здесь претендует группа Energetic Bear («Энергетический медведь»), и неясно, другое ли это название «драконов» или самостоятельное формирование.

У чиновников и экспертов тоже разногласия. ФБР и Министерство национальной безопасности США выпустили совместный доклад, где утверждают, что деятельность хакеров в основном касается «классических» ИТ-систем, эксплуатируемых энергетическими компаниями и прежде всего — их бизнес-подразделениями. В общем, «офисный планктон», считают в этих ведомствах, ведет себя одинаково неразумно везде, будь то банк или АЭС, так что и особо беспокоиться не о чем.

По мнению IBM, ситуация гораздо серьезнее. Под угрозой — не только энергетика, но также предприятия, оказывающие коммунальные услуги (водо- и теплоснабжение и т.п.). Не согласна эта корпорация и с оценкой целей, интересующих хакеров. Как выясняется, они атакуют и промышленные системы управления (Industrial Control Systems — ICS); у нас распространено название «автоматизированные системы управления технологическими процессами — АСУ ТП». В состав АСУ ТП входят, в частности, программируемые логические контроллеры, управляющие работой оборудования (реакторов, турбин, насосов и т.п.), и подсистемы SCADA, выполняющие функции диспетчеризации, сбора и анализа информации. Активность атак на АСУ ТП растет: за первую половину нынешнего года их было зафиксировано лишь немногим меньше, чем за весь 2016 год: 2522 и 2788 соответственно.

А что же Минэнерго США? В лучших традициях чиновничества оно сообщает, что «взаимодействует» с энергетическими компаниями, ставшими жертвами хакеров. Но, похоже, этому ведомству было бы полезно провести работу над собственными ошибками: с октября 2010 по октябрь 2014 года хакеры пытались взломать ИТ-сеть Минэнерго 1131 раз, причем в 159 случаях атаки увенчались успехом.

Как у нас?

26 июля 2017 г. Президент России подписал Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Эту инфраструктуру как раз и составляют АСУ ТП и прочие системы, поддерживающие функционирование объектов энергетики и транспорта, крупных промышленных предприятий, коммунальных служб и т.п. Важнейшим принципом признана непрерывность и комплексность обеспечения безопасности, приоритет отдан предотвращению компьютерных атак, а не только борьбе с их последствиями.

Компания ARinteg проводит комплекс работ по обеспечению информационной безопасности АСУ ТП. Заказчики ARinteg могут не опасаться «драконов», «медведей» и их злоумышленных действий.