57.65 € 69.07

Взлом электрической сети Украины. Как избежать хакерских атак и сохранить доступность данных?

Взлом электрической сети Украины. Как избежать хакерских атак и сохранить доступность данных?

С хакерскими атаками в том или ином виде сталкивался каждый, кто регулярно пользуется интернетом. Вредоносное ПО может доставить немало проблем неподготовленному пользователю. Самыми страшными последствиями такой индивидуальной кибератаки может стать кража, блокировка, удаление личных данных или вывод из строя компьютера. Если же объектом нападения хакеров становятся крупные организации, то последствия могут быть катастрофическими. Так, сетевой червь WannaCry, проникший в сеть в мае 2017 года, за 3 дня заразил около 200 тысяч компьютеров в более чем 150 странах по всему миру. В частности, в России атаке подверглись МВД, РЖД, «Мегафон», а в июне похожий вирус Petya снова атаковал крупнейшие мировые компании, в том числе российские организации «Башнефть», «Роснефть», «Сбербанк», «Хоум Кредит» и другие. Особенно опасными становятся кибератаки, направленные на предприятия, обеспечивающие человека жизненно важными ресурсами. В энергетической отрасли одной из самых резонансных стала кибератака на 3 областные электрораспределительные компании Украины, которая произошла 23 декабря 2015 года. В результате по вине хакеров на 3 часа были полностью обесточены 7 трансформаторных подстанций 110 кВ и 25 подстанций 35 кВ. Без электричества осталось около 230 тысяч абонентов. Рассмотрим эту атаку подробнее на основе открытых материалов американского института информационной безопасности SANS Institute.

Злоумышленники получили доступ к данным компаний за полгода до атаки. Она состояла из следующих этапов:

  • Фишинг (Spearphishing);

  • Кража учетных записей;

  • Кража пароля от VPN для проникновения в технологическую сеть;

  • Подставной АРМ и RAdmin;

  • Модификация «прошивки» конвертеров;

  • Модификация KillDisk;

  • Отключение UPS;

  • TDoS-атака колл-центра.

1.jpg

Компоненты атаки на электрическую сеть Украины 

Spearphishing – модицикация фишинга, при котором e-mail рассылка содержит личную информацию о цели атаки. Например, письмо может быть прислано от имени начальника и содержать имя и отчество владельца почтового ящика. Если примитивный фишинг легко вычислить по ссылкам, подозрительному адресу, с которого было прислано письмо, и т.д., то spearphishing выявить труднее, так как он более умело использует методы социальной инженерии. Хакеры разослали сотрудникам компаний подменные письма с вложенными документами, содержащими макровируc BlackEnergy 3. При включении макросов в документе этот вирус предоставляет доступ к ОС и диску компьютера жертвы. 

2.jpg

Образец документа Microsoft Office, зараженного BlackEnergy 3

 

Далее простой утилитой Key Logger, которая записывает все введенные на клавиатуре символы, хакеры узнали необходимые логины и пароли, а также совершили кражу ценной информации об активах компании для своих дальнейших действий (используемая сетевая топология, марка конвертеров протоколов и т.д.). Затем злоумышленники завладели паролями от VPN, которая соединяет корпоративную сеть с технологической. В технологической сети они получили все необходимые данные для того чтобы создать виртуальный АРМ на своем компьютере. В качестве второго способа получения доступа к управлению технологическими процессами хакеры установили на компьютеры диспетчеров программу удаленного администрирования RAdmin. Удаленное подключение к АРМ диспетчеров с функцией телеуправления позволило хакерам заблокировать энергоснабжение абонентов. Для того чтобы усложнить задачу восстановления системы, хакеры поменяли «прошивки» на конвертерах протоколов. Произошел разрыв связи между исполнительными устройствами и удаленными командами диспетчеров. Дополнительный урон принесли телефонная DoS-атака на колл-центр и перепрограммирование UPS, которое привело к отказу резервного источника питания диспетчерского центра. В завершение атаки хакеры запустили утилиту KillDisk, обнулили  MBR и стерли все данные на компьютерах сотрудников, которые они использовали. И все-таки персонал распределительных компаний всего за 3 часа в ручном режиме смог полностью восстановить энергоснабжение своих клиентов, несмотря на то, что атака была высоко скоординированной, распределенной и хорошо спланированной. 

Профессионализм специалистов украинских компаний позволил быстро устранить последствия нештатной ситуации. Но любое подобное происшествие приводит к убыткам, даже если его причины были сразу обнаружены, поэтому возникает вопрос: как можно не только уменьшить последствия киберугроз, но и минимизировать риск их возникновения? С одной стороны, необходима постоянная работа с персоналом, например, проведение тренингов по информационной безопасности, чтобы сотрудники знали, по каким признакам можно распознать фишинг.  С другой стороны, требуется структурированная, надежная, стабильная и защищенная информационная среда предприятия с четким разделением зон ответственности и уровней доступа. К таким системам относится инфраструктура данных реального времени PI System от компании OSIsoft, пионера цифровой трансформации производства мирового уровня. PI System – это программное обеспечение, компоненты которого образуют информационное ядро современного цифрового предприятия. Они проводят сбор, обработку, хранение, анализ и визуализацию любых данных, поступающих из самых разных источников в масштабах всех технологических процессов, и повышают эффективность производства за счет единого информационного пространства, позволяющего принимать оптимальные решения. Если говорить о безопасности, то PI System имеет ряд защитных механизмов, которые помогут снизить последствия атаки или предотвратить ее вовсе. Сотрудники украинских электрораспределительных компаний через VPN заходили из корпоративной сети в технологическую не для управления SCADA-системой, а для поиска данных в ней. PI System ограничивает доступ к SCADA, но при этом предоставляет производственные данные персоналу в необходимом объеме. Эта функция реализована с помощью DMZ – схемы с двумя межсетевыми экранами, где технологическая сеть отделяется от корпоративной специальным буфером – демилитаризованной зоной. Для усиления контроля на данном этапе могут быть использованы активный мониторинг соединений и двухфакторная аутентификация. Еще одно важное преимущество PI System – поддержка «белых списков» АРМ (список АРМ, которым разрешен доступ на сервер) и «белых списков» приложений (перечень программ, которые могут быть установлены на АРМ). Отсутствие «белых списков» позволило хакерам подключить виртуальное АРМ, установить RAdmin и, соответственно, удаленно отключить подстанции. Использование «белых списков» не допускает установку незарегистрированных программ или подключение незарегистрированных компьютеров. Данная инфраструктура является базой данных реального времени, обеспечивающей общий доступ к информации из технологической сети всем заинтересованным пользователям из корпоративной сети, в то же время надежно отделяя саму технологическую сеть от корпоративной. Такая схема гораздо более безопасна с точки зрения киберугроз и в то же время удобна с точки зрения доступности данных.

Чем более сложным становится информационное пространство компании с многочисленными промышленными и корпоративными системами, тем более сложные методы требуются для его защиты. Важно постоянно совершенствовать системы информационной безопасности и не забывать о человеческом факторе, ведь многие масштабные киберпреступления начинались с примитивной e-mail рассылки.


Читайте также:

1.     Полная версия видеозаписи презентации «Взлом электрической сети Украины. Как не повторить сделанные ошибки»

2.     Ангарская нефтехимическая компания: Системы производственного контроля и учета на базе PI System

3.     Газпромнефть-Омский НПЗ: Опыт применения PI System

4.     Газпром добыча Надым: Система диспетчерского контроля и управления в составе информационно-управляющей системы диспетчерского управления Бованенковского НГКМ

5.     Сибур-Химпром: Автоматизированный производственный учет на базе PI System

Подписаться на новости

Назад

Комментарии

Текст сообщения*
Защита от автоматических сообщений