Хакерские атаки как инструмент политической борьбы

Хакерские атаки как инструмент политической борьбы
7cd749878d885d3345c2f0188b01fa12.jpg

2 июля на одном из ядерных объектов Ирана произошел взрыв и пожар, причиной которого, вероятно, стала кибератака. Перед инцидентом на электронную почту службы BBC пришло письмо, в котором некая группировка «Гепарды родины» сообщила, что берет на себя ответственность за происшествие. Данная группировка называет себя оппозиционной к настоящим властям Ирана. Однако ранее она нигде не фигурировала. Это наводит на мысль об использовании ее как щита для истинных виновников инцидента.
Напомним, что в мае власти Израиля сообщили о кибератаках на объекты очистки водоснабжения страны, где целью злоумышленников были АСУ ТП и программируемые логические контроллеры управления клапанами, что могло привести к остановке процесса очистки. АСУ ТП имело подключение к сотовой связи для удаленного управления, и первой мишенью являлся маршрутизатор сотовой связи.
Интересно, что администрация президента США Дональда Трампа обвинила в кибератаке Иран. В то же время несмотря на то, что официальные лица редко берут на себя подобную ответственность, 8 июля Дональд Трамп в интервью газете The Washington Post  признался, что давал указание совершить кибератаку на российскую компанию «Агентство интернет-исследований» в 2018 году. Возможно, это был шаг саморекламы в гонке за голосами избирателей (напомним, что демократы обвиняют его в использовании России для вброса голосов), однако вероятность правдивости высказывания также высока. Таким образом, он фактически подтвердил, что киберинструменты в США давно используются в политических целях.
Промышленные объекты являются привлекательной целью для подобных диверсий. Тем более что зачастую на них используется устаревшее программное и системной обеспечение, а вопрос обновления в рамках производственного процесса (даже для систем управления) связан со множеством рисков. С другой стороны, не редки случаи подключения Интернет-каналов разного рода (сотовые, спутник, Ethernet  и т. д.) через не самые надежные сетевые устройства непосредственно в АСУ ТП сегменты для оперативного удаленного мониторинга.
Защите объектов АСУ ТП необходимо уделять максимальное внимание. И выполнять требования регуляторов не формально, а осознанно выбирать стратегию и средства защиты.
Промышленные объекты обладают свойствами, которые можно использовать при планировании защиты, в частности ограниченный перечень необходимого ПО и сетевых протоколов. Здесь эффективно может сработать принцип «белого листа», если его грамотно настроить. Ограниченный перечень необходимого оборудования и возможность работы с запретом и контролем внешних устройств (USB, PCI), контролем целостности, средствами мониторинга систем и сетевых протоколов. Напомним, что группа компаний Angara рекомендует применять специализированные средства защиты АСУ ТП, умеющие работать со специфичными протоколами и ПО Industrial Control Systems (ISC):
  • Kaspersky Industrial CyberSecurity, который подразумевает:
o KICS for Nodes – агентское решение, выполняющее защиту конечных узлов технологической сети, включая контроль запуска приложений, устройств, беспроводных сетей, средства обнаружения вредоносных программ,
o KICS for Networks – сетевой сенсор, осуществляющий в том числе мониторинг целостности технологической ЛВС, анализ прикладных технологических протоколов и хранение информации о сетевых событиях.
  • Positive Technologies Industrial Security Incident Manager (PT ISIM) – программно-аппаратный комплекс, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП, включая инвентаризацию сетевых активов, контроль информационного взаимодействия, обнаружение и предотвращение кибератак на АСУ ТП, выявление неавторизованного управления системами и другие функции.
  • Криптомодули ViPNet SIES Core & Pack, предназначенные для интеграции в автоматизированные системы управления и системы межмашинного взаимодействия для выполнения криптографических операций в виде набора простых команд для обработки пользовательских данных.
  • Некоторые производители NGFW имеют поддержку технологических протоколов, например Palo Alto Networks, Check Point, ViPNet Coordinator IG. Вплоть до анализа конкретных команд в реализации протокола и гранулирования правил с учетом передаваемой в протоколе команды (Modbus Function Control).
Производить анализ защищенности SCADA-систем как общими сканерами, так и узкоспециализированными можно сканером анализа защищенности технологических сетей ПК «SCADA-Аудитор». Teenable Nessus содержит несколько модулей проверок систем SCADA.
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group