найгучніші кібер-атаки на критичні інфраструктури



Одна з найсильніших сторін нашого сучасного розвиненого суспільства є також одним із самих головних його недоліків. У нинішньому взаємопов'язаному світі розвинені і високотехнологічні соціуми сильно залежать від роботи ряду служб і сервісів, які в даний час стали життєво необхідними.

Певна інфраструктура забезпечує нормальну роботу основних служб і виробничих систем в будь-якому суспільстві. Тому збій в роботі в силу природних причин технічних несправностей або навмисних дій може мати серйозні наслідки для постачання ресурсів або роботи критичних служб, не кажучи вже про загрозу безпеки.

В останні роки в усьому світі неухильно зростає рівень кібер-злочинності.
Розвиток Інтернету та цифрова трансформація суспільства являє собою «ціпок про два кінці», оскільки все це дає певні можливості для злочинців. Але що може статися, якщо критично важливі мережі стануть метою для злочинного співтовариства?

Антивірусна лабораторія PandaLabs компанії Panda Security опублікувала білу книгу під назвою «Критична інфраструктура: кібер-атаки на основи сучасної економіки» з хронологією найбільш гучних атак у світі проти інформаційної безпеки об'єктів критичної інфраструктури та рекомендаціями щодо їх захисту.

Важливі сектори і критична інфраструктура

Захист критичної інфраструктури є важливою проблемою для всіх країн. Високий рівень розвитку сучасного суспільства багато в чому залежить від низки основних і важливих послуг, значною мірою надаються приватним бізнесом.

Інфраструктура забезпечує нормальну роботу вкрай важливих для розвитку держави служб і систем: урядові органи, водопостачання, фінансові і податкові системи, енергетика, космос, атомні електростанції і транспортні системи, великі виробничі підприємства.

До критично важливої інфраструктури ми відносимо об'єкти, мережі, служби та системи, збій в роботі яких у будь-якому випадку позначиться на здоров'я, безпеку і добробут громадян країни.

Гарантоване надання життєво важливих послуг в умовах нових загроз — це не тільки відповідальність державних органів, але також і приватних компаній на національному і міжнародному рівнях.

Технічні характеристики
Певні технічні характеристики і рівень уразливості критичних даних в таких мережах означають, що їхній захист не є тривіальною задачею.

Нові вторгнення в кібер-фізичні системи виробничих процесів, запущених в критичної інфраструктури, створили потребу в нових стратегіях, адаптованих для виявлення таких загроз без перешкод у роботі самої інфраструктури.


Гібридна архітектура
Різні критичні інфраструктури засновані на гібридної архітектури, що поєднує в собі класичні IT-мережі та промислові OT-мережі, які керують компонентами, взаємодіючими з фізичними об'єктами (кібер-фізичні системи).


Ізоляція від Інтернету
Цей аспект заслуговує окремої уваги, оскільки зростаюча тенденція до взаємодії всіх типів інфраструктури також розширює кількість доступних векторів атаки. Системи контролю для таких інфраструктур, як правило, ізольовані від Інтернету і підключені до
межах внутрішньої мережі.


SCADA
Утім, існують такі системи контролю SCADA, які видимі, і навіть доступні через Інтернет. Більшість таких систем не мають прямого зв'язку з тими системами, які керують критичної інфраструктурою, але вони можуть використовуватися в якості шлюзу, щоб хакери могли отримувати конфіденційну інформацію для планування більш складних атак.

Стратегічний пріоритет вирішення проблеми

Сучасні народи стикаються з численними проблемами, що стосуються національної безпеки. В цьому плані стратегічні пріоритети спрямовані на захист критичної інфраструктури, яка може піддаватися ряду нових загроз. Для її захисту важливо скласти план, який пропонує запобігання та захист від потенційних загроз, як з точки зору фізичного захисту, так і захисту технологій і комунікацій.

За останні роки відбувся ряд ключових подій, таких як 9/11, які стали поворотним пунктом у глобальної безпеки. З тих пір у світі склалася ситуація, коли збій у роботі певних об'єктів критичної інфраструктури може вплинути на здоров'я, безпека та благополуччя не тільки окремих людей, але і цілих націй.

Змінився і підхід до забезпечення безпеки таких об'єктів. Раніше безпека була винятковою прерогативою державних органів. Тепер об'єкти критичної інфраструктури, в основному, знаходяться в руках приватного бізнесу, а тому він також несе серйозну відповідальність за їх безпеку. Після трагедії 11 вересня США створили Міністерство внутрішньої безпеки і прийняли цілий ряд відповідних законів і постанов.

У Європі подібна ініціатива з'явилася після свого ключового події: 11 березня 2004 року, вибухів поїздів в Мадриді.

Європейська комісія розробила глобальну стратегію по захисту критичної інфраструктури («The European Programme for Critical Infrastructure Protection»), яка включає в себе комплекс заходів щодо профілактики, запобігання і реагування на терористичні атаки в Європі.

Серед іншого, директива встановлює, що основна і кінцева відповідальність за захист критичних інфраструктур лежить на державах-членах Євросоюзу та операторів такої інфраструктури, а також настійно закликає всі країни Євросоюзу впроваджувати в своє національне законодавство ряд заходів та ініціатив.

Історія атак

В цілому, громадськість, хоч і допускає певні ризики, але все таки вважає, що в реальності мова може йти про невеликій кількості кібер — атак на критичну інфраструктуру. На жаль, все набагато сумніше: ми вже знаємо сотні задокументованих випадків таких атак у всьому світі. Атаки на такі мережі ведуться вже десятиліття, і нижче Ви зможете познайомитися з історією даних атак.

Сибірський нафтопровід
Термін «Інтернет» приходить на розум всякий раз, коли ми думаємо про кібер-атаках на критичну інфраструктуру.
Але перша подібна кібер-атака сталася ще до появи Інтернету — в 1982 році.
Тоді група хакерів змогла встановити троян в SCADA-систему, яка контролювала роботу сибірського нафтопроводу, що призвело до потужного вибуху. Атака була організована ЦРУ, хоча про це не було відомо до 2004 року, коли колишній секретар Міністерства оборони США і радник Р. Рейгана Томас Рід опублікував свою книгу «At the Abyss: An insider's History of the Cold War».

Chevron
Наступний інцидент стався через десять років, у 1992 році, коли був звільнений робочий нафтової компанії Chevron, який зламав комп'ютери в офісах компанії в Нью-Йорку і Сан-Хосе, що відповідали за системи попереджень, перенастроює їх на аварію після запуску системи. Цей саботаж не був розкритий до тих пір, поки не сталося витоку отруйного речовини в Редмонді (штат Каліфорнія), при цьому система не видала відповідних попереджень. В результаті тисячі людей були піддаються величезному ризику протягом 10 годин, поки система була відключена.



Salt River Project
У серпні 1994 року Лейн Джерет Девіс зумів зламати мережу Salt River Project, отримавши доступ до інформації і видаливши файли з системи, що відповідає за моніторинг і подачу води і електрики. Він також зумів отримати доступ до персональних і фінансових даних клієнтів і співробітників компанії.

Аеропорт Worcester
Інші ключові сектори також постраждали від направлених атак. 10 березня 1997 року хакер проник в систему управління, що використовується для комунікацій системи контролю повітряного руху в Вустері (США, штат Массачусетс), викликавши збій системи, яка відключила телефонний зв'язок на шість годин. Особливо це вплинуло на телефонну систему вежі управління, пожежної служби аеропорту та
авіакомпаній, що базуються в аеропорту.

Газпром
У 1999 році хакери порушили роботу систем безпеки російського енергетичного гіганта — компанії «Газпром». З допомогою інсайдера вони використовували троян, щоб мати можливість керувати SCADA — системою, що контролює подачу газу. На щастя, це не призвело до серйозних наслідків, а нормальна робота системи була відновлена в найкоротші терміни.



Maroochy Water System
Колишній співробітник Maroochy Water System (Австралія) отримав два роки тюремного ув'язнення за злом у 2000 році системи управління водопостачанням, в результаті чого мільйони літрів стічних вод потрапили в найближчу річку, що привело також до затоплення місцевого готелю.

Газопереробний завод
Газопереробний завод, побудований однією американською компанією, також піддався атаці у 2001 році. 6-місячне розслідування показало, що атака була проведена одним з постачальників, який для приховування зробленої помилки, вирішив відвернути увагу, зламавши три ПК компанії і викликавши відключення подачі газу для домашніх і корпоративних клієнтів в одній з європейських країн.

PDVSA
В грудні 2002 року нафтова компанія PDVSA з Венесуели піддалася атаці, в результаті якої видобуток нафти скоротився з 3 млн. до 370 тис. барелів на добу. Під час атаки було зламано кілька корпоративних комп'ютерів.

Вона була проведена під час страйку працівників підприємства, щоб можна було припустити їх причетність.



Світлофори в Лос-Анджелесі
У 2006 році два інженера з організації дорожнього руху в Лос-Анджелесі зламали міські світлофори в знак протесту. Їм вдалося змінити програму роботи деяких світлофорів, розміщених на важливих ділянках, після чого вони стали горіти червоним кольором, що призвело до серйозних заторів.

Трамвайна мережа в Лодзі
У 2008 році 14-річний студент зламав системи трамвайної мережі у польському місті Лодзь, в результаті чого 4 трамваю зійшли з колії, а 12 осіб отримали травми. Студент створив інфрачервоний пульт дистанційного керування, як біля телевізорів, за допомогою якого він зміг контролювати трамвайні перехрестя.

Saudi Aramco
У 2012 році найбільша нафтова компанія в світі Saudi Aramco стала жертвою спрямованої атаки на свої офіси. Хакери отримали доступ до мережі завдяки атаці на одного зі співробітників компанії, через якого змогли отримати доступ до 30 000 комп'ютерів в мережі. У якийсь момент хакерам вдалося видалити вміст всіх комп'ютерів, у той час як на екранах показувався гарячий американський прапор.

Відповідальність за атаку взяло на себе група хакерів, що називали себе «Меч правосуддя».



Ram Gas
Всього лише через два тижні після атаки на Saudi Aramco, катарська компанія RamGas, другий у світі виробник зрідженого природного газу, був атакований тієї ж шкідливою програмою, яка використовувалася для атаки на нафтову компанію з Саудівської Аравії. Протягом декількох днів не працювали внутрішня корпоративна мережа та веб-сайт компанії.

Металургійний завод у Німеччині
У 2014 році в Німеччині жертвою атаки став один з металургійних заводів. Використовуючи соціальну інженерію, хакери зуміли отримати доступ до комп'ютера одного співробітника, з якого вони змогли отримати доступ до внутрішньої мережі системи управління. В результаті цього стало неможливим вимкнути одну з домен, що завдало величезної шкоди підприємству.

Електромережу України
В кінці 2015 року Україна зазнала кібер-атаку на свою національну електромережу, в результаті чого понад 600000 жителів залишилися без електрики.



Перша в історії кібер-атака проти Інтернет-інфраструктури
Незважаючи на довгий список інцидентів, перша в історії кібер-атака на Інтернет-інфраструктуру сталася 27 квітня 2007 року, коли в Естонії ряд атак обрушив сайти різних організацій, включаючи парламент, різні міністерства, банки, газети і різні ЗМІ і т. д.

Втім, атака також була спрямована на певні непублічні адреси, включаючи національну систему обробки фінансових ордерів та телекомунікаційні служби. Урмас Паєт, міністр закордонних справ Естонії, публічно звинуватив російську владу в причетності до даних атак, хоча він не зміг надати жодних доказів цього.

найвідоміший випадок кібер-атаки на критичну інфраструктуру: Stuxnet
У 2008 році ми стали свідками одного з найбільш сумно відомих в історії випадків кібер-атак на критичні інфраструктури: Stuxnet. Зараз вже відомо, що це була скоординована атака ізраїльських і американських спецслужб, спрямована на зрив ядерної програми Ірану.

Вони створили хробака, який заразив комп'ютери, що керують урановими центрифугами на іранському заводі в Натанзі, в результаті чого вони стали працювати на повній швидкості, в той час як інженери на своїх моніторах спостерігали нормальний режим роботи. Це завдало фізичний збиток всім уранових центрифуг на заводі. Після цього випадку громадськість дізналася про подібного роду погрози.

Атаки в інших компаніях також торкалися об'єкти критичної інфраструктури
Крім атак, спеціально здійснюваних для заподіяння шкоди подібного типу інфраструктури, атаки, подібні тим, з якими стикаються інші компанії, також негативно впливають на критичні об'єкти, а наслідки іноді були такими ж серйозними. Подібні проблеми в основному почалися в кінці минулого десятиліття, т. к. мережеві черв'яки стали поширюватися в Мережі самі по собі.

Наприклад, випадок на провідній в США фабриці з випуску продуктів харчування, коли вірусна інфекція завдала шкоди, вимірюється тисячами доларів. Один співробітник віддалено підключився з домашнього ПК, який був заражений вірусом Вірусів. Як тільки він увійшов в корпоративну мережу, черв'як поширився на всі системи управління.

У 2003 році нафтова компанія із США постраждала від хробака SQLSlammer, який проник у внутрішню мережу. Хоча це не призвело до зупинки виробництва, але він вплинув на внутрішні комунікації.

Довелося витратити кілька днів для повного видалення хробака з мережі і оновлення систем для запобігання подальших атак. До речі, даний хробак був одним з найбільш руйнівних для компаній.

Для поширення, він використовував уразливість в серверах баз даних SQL (стандартний інструмент в корпоративних мережах). Уразливість була виправлена Microsoft в січні 2003 року. До речі, інша американська нафтова компанія почала оновлювати всі свої об'єкти відразу ж після появи цього патча, щоб захистити себе від цього хробака. Однак, для завершення оновлення необхідно було перезавантажити сервери, на яких цей патч був встановлений, в той час як деякі з них знаходилися на нафтових платформах, де не було виділеного IT-персоналу. Для цього довелося відправляти фахівців на вертольоті. І поки вони не встигли приїхати, черв'як проник в деякі корпоративні системи і заразив ті з них, які ще не встигли оновити.

У тому ж 2003 році один з найбільших автовиробників США також постраждав від атаки хробаком SQLSlammer, який миттєво поширився на його 17 заводах. Загальний збиток компанії склав 150 млн. доларів США. Хоча патч вже був доступний протягом шести місяців, ІТ-менеджери компанії досі не встановили.

У тому ж році від шкідливої інфекції (та шкідлива програма не була публічною) постраждав комп'ютер авіакомпанії Air Canada, що відповідає за льотну інформацію, заправку палива та ін. В результаті інфекції 200 рейсів були затримані або скасовані.

У 2005 році в Японії комп'ютер співробітника компанії Mitsubishi Electric був заражений шкідливою програмою, що призвело до витоку конфіденційних інспекційних документів про двох атомних електростанціях, що належать цій компанії.

У 2006 році два комп'ютера в лікарні (Великобританія), що відповідають за управління комплексом променевої терапії для хворих на рак людей, були заражені шкідливою програмою. В результаті цього довелося відкласти лікування 80 пацієнтів. Через два роки ще три лікарні у Великобританії були заражені варіантом хробака Mytob, після чого довелося відключити всі комп'ютери мережі на 24 години для вирішення інциденту.

У 2013 році були заражені 200 комп'ютерів Департаменту автомобільних доріг і транспорту в окрузі Кук (штат Іллінойс, США). Ці системи відповідали за підтримання сотні кілометрів доріг в передмісті Чикаго. В результаті атаки довелося вимикати мережу на 9 днів, щоб вилікувати всі комп'ютери.

Цей список інцидентів показує, що небезпека кібер-атак на критичні інфраструктури цілком реальна, і сьогодні уряди всіх країн знають про ці ризики.

Додатковий захист для критичної інфраструктури
Враховуючи реальність, яку ми спостерігаємо і в якій ми живемо, необхідно регулювати захист критичної інфраструктури, щоб забезпечити їй більш високий рівень захисту від усіх типів загроз.

У травні 2016 року після зустрічі міністрів енергетики країн G7, була прийнята спільна декларація, в якій, серед іншого, був поставлений акцент на важливості створення відмовостійких енергосистем (включаючи газ, електрику і нафту), щоб ефективно реагувати на що з'являються кібер-загрози і підтримувати нормальну роботу життєво необхідних служб.

Щоб удосконалити заходи по запобіганню і реагуванню на логічні атаки, уряди країн здійснюють ряд заходів на глобальному рівні. Ці заходи спрямовані на створення центрів по збору всієї необхідної інформації для поліпшення захисту критичних інфраструктур. Як результат, була розроблена комплексна стратегія для вирішення даної проблеми, яка повинна бути включена в національне законодавство цих країн.

Нелегко відповісти на питання, наскільки безпека об'єктів критичної інфраструктури адекватна в даний час, оскільки невідома інформація або техніки, які можуть бути використані кібер-злочинцями, а тому не можна бути на 100% безпеки. Що можна покращити — це захист від відомих атак, для запобігання яких необхідно застосовувати ряд ефективних заходів:

1. Перевірка систем на уразливості, особливо тих систем, на яких вже були зафіксовані діри безпеки і вони були відомі протягом деякого часу.

2. Адекватний моніторинг мереж, використовуваних для контролю таких об'єктів критичної інфраструктури, і при необхідності їх повна ізоляція від зовнішніх з'єднань, що дозволить виявляти зовнішні атаки і запобігати доступ до систем, керованим з внутрішньої мережі.

3. Контроль над змінними пристроями, що важливо в будь інфраструктурі не тільки тому, що вони є напрямом таких атак, як у випадку з Stuxnet. При захисті таких об'єктів критичної інфраструктури вкрай важливо, щоб шкідливі програми не проникали у внутрішню мережу через знімні пристрої, які також можуть bспользоваться і для крадіжки конфіденційної інформації.

4. Моніторинг ПК, до яких підключені програмовані логічні контролери (або PLC). Ці підключені до Інтернету пристрою є найбільш чутливими, оскільки вони можуть надавати хакерам доступ до критично важливих систем управління. Навіть якщо вони не зможуть отримати контроль над системою, вони зможуть отримати цінну інформацію для інших напрямків атаки.

Рішення
Рішення полягає в захисті від сучасних загроз і спрямованих атак, яка також повинна дозволити виявляти незвичайне або підозрілу поведінку. Система, яка повинна забезпечити конфіденційність даних, захист активів і репутації компанії.

Інтелектуальна платформа, яка може допомогти фахівцям з безпеки критичної інфраструктури оперативно реагувати на загрози і отримувати всю необхідну інформацію для підготовки адекватної відповіді.

Рішення Adaptive Defense 360 — система розширеної ІТ-безпеки, яка поєднує новітні технології захисту і сучасні технології виявлення і реагування на атаки з можливістю класифікації 100% виконуваних процесів.

Adaptive Defense 360 класифікує абсолютно всі активні процеси на комп'ютерах, забезпечуючи захист від відомих шкідливих програм і атак «нульового дня», постійних загроз підвищеної складності (АРТ) і спрямованих атак.

Платформа використовує контекстну логіку для виявлення шкідливих моделей поведінки і генерації поліпшених дій інформаційної захисту від відомих і невідомих погроз.

Рішення аналізує, класифікує і зіставляє всі зібрані дані про кібер-загрози, щоб виконувати завдання щодо запобігання, виявлення, реагування та відновлення.

Рішення визначає, яким чином і ким був здійснений доступ до даних, а також контролює витік даних в результаті роботи шкідливих програм або дій співробітників.

Рішення виявляє та усуває системні уразливості та дірки у встановлених програмах, а також запобігає використання небажаних програм (тулбари, рекламне ПО, доповнення тощо).
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.