PR články

Průmyslové systémy útočníky lákají

Specializované systémy pro řízení průmyslových provozů již dnes nejsou zdaleka tak izolované od zbytku infrastruktury IT. Internetové útoky ohrožují počítače ovládající roboty i satelity, energetické systémy i chirurgické operace.

Nová studie společnosti Kaspersky Lab analyzuje vývoj malwaru pro průmyslové řídicí systémy (Industrial Control Systems, ICS). Do studie byly zahrnuty i specializované systémy SCADA (Supervisory Control And Data Acquisition, dispečerské řízení a sběr dat), nově rovněž systémy pro řízení interakce člověk-stroj (tj. např. roboty ovládané operátory pomocí speciálních panelů).

Pro hodnocení vývoje hrozeb je klíčová konektivita řídicích systémů. V minulosti nebývaly připojeny k internetu, nicméně k nim často bylo možné přistupovat z lokálních sítí. Dokonce i zcela izolované systémy lze ovšem napadnout – jeden z prvních značně medializovaných útoků tohoto typu, červ Stuxnet, takto narušil íránské systémy pro řízení odstředivek na obohacování uranu. Malware přitom do systémů pronikl přes infikované klíčenky USB flash. Podle statistik Kaspersky Lab dnes bývají systémy ICS k internetu připojeny nejčastěji sice nikoliv stabilně, ale jednorázově při pravidelných cyklech údržby (např. kvůli třetím stranám – dodavatelům specializovaného softwaru), nicméně 42 % z těchto zařízení má již k internetu plný přístup. Většina ICS systémů k internetu bývá připojována obvykle jednou měsíčně nebo ještě méně často. I to však stačí. Relativně proto stoupá podíl útoků z „obecného“ připojení, naproti tomu míra infekcí realizovaných pomocí e-mailových klientů nebo přenosných médií zůstává přibližně na stejné úrovni.

V prvním pololetí letošního roku bylo napadeno více než 41 % systémů ICS, což je o 4 % více než koncem loňského roku a o 5 % více ve srovnání s 1. pololetím roku 2017. Tak jako v jiných odvětvích bezpečnosti IT, i v případě ICS jsou bezpečnější systémy v USA/Kanadě, Evropě a Austrálii. Relativně vyšším rizikům jsou vystaveny průmyslové systémy ve východoevropských, ale rovněž v jihoevropských zemích. Rozdíly mezi různými oblastmi v Evropě mj. zřejmě závisejí i na míře investic, které organizace věnují na ochranu své infrastruktury.

V letošním roce se specialisté zaměřili např. na vývoj malwaru Energetic Bear/Crouching Yeti. Tato kampaň je aktivní především v USA a Evropě. V poslední době speciálně cílí i na turecké podniky. Útočníkům se podařilo především díky rozesílaným škodlivým dokumentům ovládnout řadu serverů, které používají jako prostředků pro další postup. Problém s určením identity útočníků v tomto případě spočívá v tom, že skupina používá téměř výhradně nástroje s otevřeným zdrojovým kódem, veřejně dostupné prostřednictvím projektu GitHub. Nepočítáme-li již zmíněné Turecko, nejvíce obětí tohoto útoku je mezi podniky v Rusku a na Ukrajině.

V červnu došlo k zajímavému útoku, který byl zaměřen na firmy provozující satelitní systémy, jejich výrobce i dodavatele. Útočící počítače se nacházely v Číně, cíle především v USA a jihovýchodní Asii. Akce tohoto typu mohou útočníkům finálně umožnit až přímou manipulaci s polohou satelitů na oběžné dráze a narušení souvisejících komunikačních služeb.

V první polovině letošního roku rovněž vzrostl podíl ICS systémů, které byly napadeny ransomwarem. Ačkoliv se meziroční zvýšení podílu ze 1,2 na 1,6 % nemusí zdát podstatné, firmy provozující systémy ICS by ani toto riziko neměly podceňovat, protože data i aplikace na těchto systémech pro ně často bývají kritická. Došlo i k incidentům, při nichž byla zašifrována data na zařízeních používaných pro specializované medicínské aplikace.

Aleš Pikora, ředitel divize DataGuard

PCS, spol. s r. o.

Další článek: Brýle na hlavě a ovládání hlasem. Tak funguje nový Firefox pro virtuální realitu

Témata článku: