Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Краткая история ICS
Авторам вредоносных программ относительно сложно написать вредоносное ПО, специфичное для промышленных систем управления (ICS). По сравнению с традиционным вредоносным ПО для ИТ, если вы хотите скомпрометировать АСУ ТП, вам придется приложить больше усилий по нескольким причинам.
Во-первых, вам нужно понять целевую среду. Поскольку объекты АСУ ТП гораздо более разнородны, чем ИТ, злоумышленникам обычно приходится адаптировать свою атаку к конкретной цели и собирать разведданные на этом конкретном объекте.
Во-вторых, злоумышленник должен понимать процесс, на который он нацелен. Авторы вредоносных программ, как правило, не являются экспертами в области металлургии, энергетики или опреснения воды, и им приходится поддерживать связь со специалистами в данной области, чтобы понять основной физический процесс, если они хотят вмешаться в него.
В-третьих, в средах АСУ ТП имеется множество систем безопасности, которые не позволяют операторам совершать дорогостоящие ошибки. Эти системы также актуальны для сдерживания кибератак, поскольку они контролируют опасные физические отклонения.
Несмотря на это, мы уже видели семь семейств вредоносных программ, специально нацеленных на среды АСУ ТП. Вот краткий исторический обзор вредоносного ПО, специфичного для АСУ ТП:
Хавекс (2013): Havex (он же Dragonfly) был замечен в 2013 году в рамках широкомасштабной кампании промышленного шпионажа. Злоумышленники, стоящие за Havex, заражали свои цели с помощью различных методов, включая фишинговые электронные письма, а также компрометацию веб-сайтов нескольких поставщиков оборудования АСУ ТП и замену законных обновлений программного обеспечения поставщиков вредоносными версиями. Когда жертвы загружали обновления, содержащие троян, они были заражены вредоносным ПО Havex, которое позволяло злоумышленникам удаленно получать доступ к зараженным сетям и собирать данные с зараженных компьютеров.
BlackEnergy2/3 (2014–2015): Год спустя появилась вредоносная программа BlackEnergy2. В 2014 году Министерство внутренней безопасности США сообщило, что оно взломало программное обеспечение, контролирующее несколько национальных жизненно важных инфраструктур, включая атомные электростанции, электрические сети, системы очистки воды, а также нефте- и газопроводы. Вариант BlackEnergy3, не предназначенный для АСУ ТП, позже использовался в рамках кампании 2015 года против сетей украинских энергетических компаний. В обоих вариантах после установления плацдарма внутри цели злоумышленникам необходимо было пересечь сеть и нанести ущерб вручную.
Промышленник Crashoverride (2016): В отличие от BlackEnergy2, который использовался в основном для закрепления в АСУ ТП и исследования промышленных процессов, цель вредоносного ПО Crashoverride — автоматически наносить физический ущерб работе электросетей, без необходимости держать злоумышленников «руки на клавиатуре» во время работы. атака. Для этого он был закодирован для связи с целевым оборудованием с использованием протоколов, специфичных для АСУ ТП, и взаимодействия с сетевым оборудованием.
Трисис/Тритон (2017): Как упоминалось ранее, объекты АСУ ТП оснащены системами безопасности (SIS), которые автоматически срабатывают в качестве мер обеспечения безопасности, когда основной кинетический процесс демонстрирует опасное поведение. Например, предохранительные клапаны автоматически открываются для сброса давления, превышающего нормальный уровень, чтобы предотвратить травмы людей и повреждение оборудования. Triton был первым вредоносным ПО для АСУ ТП, специально нацеленным на оборудование безопасности. В этом смысле это был шаг вперед с точки зрения упорства и смелости нападающих.
Индустрой2 (2022):После того, как первоначальный «Индустройер» 2016 года был успешно использован для остановки работы электросетей в Украине, его преемник «Индустройер2» был обнаружен также в Украине в 2022 году. По словам Драгоса, «Индустройер2» представляет собой урезанную версию своего предшественника, предназначенную (среди прочего) вещи) переключайте автоматические выключатели сети из открытого состояния в закрытое и наоборот.
Несбыточная мечта (2022): Pipedream — это новейшее обнаруженное и самое сложное на сегодняшний день вредоносное ПО для АСУ ТП, способное естественным образом взаимодействовать с длинным списком устройств АСУ ТП различных производителей. Согласно рекомендациям CISA, вредоносное ПО способно «сканировать, компрометировать и контролировать определенные устройства ICS/SCADA». Эти возможности, по мнению Драгоса, представляют собой «явную и реальную угрозу доступности, контролю и безопасности промышленных систем и процессов управления» и «могут быть использованы для того, чтобы поставить под угрозу операции и жизни людей».