Rešenja kompanije Kaspersky bila su aktivirana na gotovo polovini računara industrijskih kontrolnih sistema (ICS) u energetskom sektoru na globalnom nivou u prvih 6 meseci 2019. godine. Tri najzastupljenije sajber pretnje bile su crvi, spajveri i rudari kriptovaluta – zajedno, oni čine gotovo 14% udela svih targetiranih računara. Ovo su glavni nalazi novog izveštaja ICS CERT tima kompanije Kaspersky o pejzažu industrijskih pretnji u prvoj polovini 2019.
Industrijski sajber incidenti su među najopasnijima s obzirom na to da mogu rezultovati zaustavljanjem proizvodnje, realnim finansijskim gubicima i prilično je teško savladati ih. Ovo je naročito slučaj kada incident nastane u kritičnim sektorima bitnim za svakodnevni život, poput energetskog. Statistika za prvu polovinu 2019. godine, automatski obrađena od strane bezbednosnih tehnologija kompanije Kaspersky, pokazala je da oni koji upravljaju energetskim rešenjima ne smeju da spuštaju gard.
Sve u svemu, tokom posmatranog perioda, proizvodi kompanije Kaspersky bili su aktivirani na 41,6% računara industrijskih kontrolnih sistema u energetskom sektoru.
Veliki broj konvencionalnih primeraka malvera koji nisu bili dizajnirani za industrijske kontrolne sisteme su bili blokirani.
Među malicioznim programima koji su bili blokirani, najveću opasnost predstavljaju rudari kriptovaluta (2.9%), crvi (7.1%), i različiti oblici spajvera (3.7%).
AgentTesla, dizajniran da ukrade podatke za autentifikaciju, skrinšotove, i podatke uhvaćene preko veb kamere i tastature. U svim analiziranim slučajevima, napadači su slali podatke putem kompromitovanih poštanskih sandučića u različitim kompanijama. Pored malvera, proizvodi kompanije Kaspersky su takođe otkrili i blokirali slučajeve Meterpreter bekdora koji je korišćen za daljinsko kontrolisanje računara na industrijskim mrežama energetskih sistema.
Mogućnost napadača da krišom i sa udaljenosti kontrolišu zaražene računare industrijskih kontrolnih sistema predstavlja ogromnu pretnju industrijskim sistemima.
Poslednje, ali ne i najmanje važno, je da su rešenja kompanije otkrila i blokirala Syswin, novog crva brisača pisanog u programskom jeziku Python i spakovanog u Windows .exe format.
„Prikupljena statistika, kao i analiza sajber pretnji, su dokazni materijal za procenu trenutnih trendova i predviđanje vrste opasnosti za koju bi trebalo da se pripremimo. Ovaj izveštaj je identifikovao da bi stručnjaci za bezbednost trebalo da budu naročito oprezni u vezi sa milicioznim softverima koji su usmereni na krađu podataka, špijuniranje kritičnih objekata, upada u perimetar i uništavanje podataka. Svi ovi tipovi incidenata mogu da uzrokuju mnogo problema za industriju”, izjavio je Kiril Kruglov (Kirill Kruglov), istraživač bezbednosti u kompaniji Kaspersky.
ICS CERT tim kompanije Kaspersky preporučuje primenu sledećih tehničkih mera:
Redovno ažurirajte operativne sisteme, softvere aplikacija i bezbednosna rešenja na sistemima koji su deo industrijske mreže preduzeća.
Ograničite mrežni saobraćaj na portovima i protokolima korišćenim na ruterima i unutar mreže operativnih tehnologija organizacije.
Proverite kontrolu pristupa za komponente industrijskih kontrolih sistema u industrijskoj mreži preduzeća i na njenim granicama.
Obezbedite posvećenu redovnu obuku i podršku zaposlenima, kao i partnerima i dobavljačima koji imaju pristup vašoj mreži operativnih tehnologija/industrijskih kontrolnih sistema.
Uvedite posebna endpoint zaštitna rešenja poput Kaspersky Industrial CyberSecurity na servere industrijskih kontrolnih sistema, radne stanice i HMI kako biste obezbedili operativne tehnologije i industrijsku infrastrukturu od nasumičnih sajber napada; a rešenja praćenja mrežnog saobraćaja, analize i otkrivanja za bolju zaštitu od ciljanih napada.