Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

13 ноября 2015 г.

[уязвимость] Что угрожает промышленным системам под управлением Windows XP?


Несколько нет назад Microsoft приостановила поддержку Windows XP, однако промышленные системы, в том числе, в секторе электроэнергетики до сих пор используют эту операционную систему. Что им угрожает?

На каком-то этапе мысль использования операционной системы Microsoft Windows в системах автоматизации промышленных объектов звучала абсурдно. Но когда более 10 лет назад Microsoft представила ОС Windows XP, специалисты из области промышленной автоматизации обратили на нее пристальное внимание. Эта ОС обеспечивала и достаточно высокую стабильность работы, и богатую функциональность. В результате она получила достаточно большое распространение во многих промышленных комплексах. Несмотря на более чем десятилетний возраст Windows XP, ее до сих пор используют более чем 30% промышленных предприятий по всему миру.

И это несмотря на то, что с 8 апреля 2014 года Microsoft прекратила поддержку данной ОС. Конечно, Microsoft заблаговременно предупредила о том, что поддержка XP будет прекращена, но во многих компаниях задались рядом вопросов: можно ли без негативных последствий продолжить использование XP? если все же переходить на новую версию ОС Windows, каковы будут затраты на эту процедуру в рамках всей организации? может ли виртуализация решить эту проблему? Найти ответы на эти вопросы было порою было совсем не просто, многие компании отказались от миграции на новую ОС. Стало понятно, что в связи с прекращением поддержки XP, могут возникнуть серьезные проблемы, и одной из наиболее острых проблем для промышленности станет безопасность систем на основе данной операционной системы.

Что угрожает системам под управлением Windows XP?

Без критических обновлений Windows XP становится уязвимой к действиям вирусных программ и другого зловредного ПО, которое может открывать доступ к конфиденциальным данным третьим лицам или же приводить к потере информации. Антивирусные программы больше не обеспечивают полноценную защиту ОС Windows XP. Соответственно, любые устройства с XP могут использоваться атакующей стороной как точка входа в промышленные системы. Какие конкретно вирусы могут угрожать работе систем?

Хорошо известный Stuxnet

В 2010 году достаточно много шумихи по всем миру наделал вирус Stuxnet. Это зловредное ПО «весило» всего 500 кБ и атаковало, по крайней мере, 14 промышленных предприятий в Иране. Как уже сообщала ЦПС, вирус Stuxnet действовал в три этапа: атаковал машины на базе Microsoft Windows, потом выполнял поиск систем промышленной автоматизации (также на платформе Windows) и далее интегрировался в контроллеры для управления оборудованием.

Стратегия Watering hole

После Stuxnet, атаки стали более изощренными. Например, в 2012 году мир стал свидетелем нового типа кибератаки, которая получила наименование Watering hole. В этом случае стратегия атакующей стороны заключалась в том, чтобы инфицировать сайты, которые сотрудники компании-жертвы часто используют. В ходе очередного посещения сотрудниками конкретного сайта на их ПК загружалось зловредное ПО. Антивирусы не могли сразу же обнаружить проблему, поскольку сайты, которые посещали сотрудники компании, уже находились в перечне доверенных.

Троянский Havex

Компьютеры на базе Windows также легко могут стать жертвами троянских программ, которые устанавливаются на ПК для того, чтобы предоставить административный доступ атакующему. Троянские программы позволяют осуществлять мониторинг деятельности пользователя, получать доступ к конфиденциальной информации, выполнять форматирование жестких дисков, модифицировать/удалять файлы и многое другое.

Havex


Драйвера MESA Imaging, компании производящей промышленные камеры, одними из первых были заражены Havex

На «троянском принципе» был, к примеру, построен вирус Havex, проявивший себя в 2014 году. При помощи этого вируса были атакованы предприятия нескольких секторов промышленности, в том числе в электроэнергетическом секторе. Havex способен осуществлять сканирование OPC-серверов, используемых для контроля SCADA-систем. Кроме того, данный вредонос способен похищать системную информацию и хранящиеся на скомпрометированном сервере данные. Свою вредоносную деятельность данный вирус осуществляет посредством OPC-стандарта.

Энергетический мишка

В июле 2014 года появился еще один вирус Energetic bear, который нанес ущерб более 1000 энергокомпаний в Европе и США. Energetic Bear позволяет атакующим отслеживать потребление энергии в режиме реального времени, или приносить физический вред энергетическому оборудованию, такому как ветровым турбинам, газопроводам и электростанциям. Эксперты по кибербезопасности предполагают, что вирус возник первоначально на территории России. Под угрозой нового вируса находятся более чем 1000 компьютерных систем энергетических организаций в 84 странах мира. Вредоносная программа похожа на раннее созданный США и Израилем вирус Stuxnet, которому удалось заразить и саботировать работу объектов по обогащению урана в Иране два года назад.

Что делать?

Основная превентивная мера, которую предлагает предпринять Microsoft, – обновление до последних версий Windows, поддержка которых осуществляется. Дальнейшее использование Windows XP требует значительных трудозатрат для сохранения требуемого уровня защищенности от внешних воздействий. Среди рекомендуемых мер:

  • Уменьшение размера регистра с сохранением лишь тех сервисов, которые действительно необходимы.
  • Мониторинг и сигнализация виртуальных сетевых соединений.
  • Запрет исполнительных процедур для временных пользователей с сигнализацией таких событий.
  • Сигнализация запуска/остановки сервисов.
  • Регулярные бэкапы систем.

Источник