V první polovině letošního roku došlo podle studie ICS CERT společnosti Kaspersky k řadě útoků na průmyslové firmy, a to jak na samotné provozovatele, tak i na dodavatele zařízení a softwaru pro průmysl. Napadeny byly mj. systémy v Japonsku, Itálii, Německu a Velké Británii. Mnohdy šlo přitom o firmy, které v daných státech patří k provozovatelům kritické infrastruktury. Cílem útočníků bylo jak samotné narušení provozu firem, tak i průmyslová špionáž a snaha dostat se ke klíčovým datům, respektive obecně k duševnímu vlastnictví těchto společností.

Poslední vlna útoků byla velmi pečlivě připravena. Počáteční phishingové e-maily byly vytvořeny na míru a napsány v jazyce konkrétního cíle. Součástí těchto e-mailů byly přílohy obsahující malware, který se spustil pouze tehdy, pokud umístění operačního systému napadeného zařízení odpovídalo jazyku phishingového e-mailu a v příslušném jazyce byla rovněž verze Windows. Samotný malware měl podobu škodlivých dokumentů MS Office s makry a dále spouštěných skriptů PowerShell. Podrobnější analýza ukázala, že útočníci používali rovněž nástroj Mimikatz, jehož prostřednictvím kradli přístupová práva k Windows. Kompromitovaná zařízení pak útočníkům umožnila zkoušet získávat přístup i do jiných systémů v rámci podnikové sítě. V některých případech se podařilo kompromitovat i účty s administrátorskými oprávněními.

Útočníci použili v těchto případech navíc několik nestandardních technických postupů. Malwarový modul byl zašifrován uvnitř obrázkového souboru pomocí steganografie a samotný obrázek byl umístěn na legitimních webech, takže příslušné spojení nezablokovaly webové filtry ani jiné nástroje pro monitorování a řízení síťového provozu. Ve spojení s konkrétním zacílením tak tyto útoky znamenaly velmi sofistikovanou hrozbu.

Alarmující je i fakt, že mezi oběťmi útoku byly nejenom samotné průmyslové podniky, ale i jejich dodavatelé. Většina těchto dodavatelů používá vlastní nástroje pro vzdálenou správu hardwaru i softwaru u zákazníka. Pokud se útočníkům podaří nepozorovaně proniknout do dodavatelských systémů, mohou dokonce ovládnout i tyto nástroje a s útoky pak úspěšně pokračovat v rámci celého dalšího řetězce.

Velké množství zranitelností

Uvedený incident je ovšem pouze jedním z příkladů tohoto směru kybernetické kriminality. Situaci v průmyslových podnicích, respektive v systémech pro automatizaci, podrobně mapuje bezpečnostní tým CERT společnosti Kaspersky, který v loňském roce objevil v těchto specializovaných systémech (SCADA, ICS, PLC stroje, IIoT – průmyslový internet věcí) 103 bezpečnostních chyb. Celých 33 z nich dodavatelé neopravili, i když jim byly poskytnuty o zranitelnostech všechny potřebné informace. Dodavatelé softwaru a zařízení z této kategorie bohužel přistupují k zabezpečení často méně odpovědně než hlavní softwarové firmy.

Další analýza zjištěných zranitelností ukázala, že 30 % z nich by mohlo při zneužití znamenat vzdálené spuštění kódu, 15 % umožňovalo útok na dostupnost služby (DoS) a ve 14 % případů by mohlo dojít k eskalaci uživatelských oprávnění nebo únosu relace. Většina chyb je důsledkem postupů používaných při vývoji softwaru (i zde jsou nejběžnější chyby typu přetečení zásobníku, nesprávné ověřování vstupu či vsunutí kódu, cross-site scripting a chyby v autentizaci), eventuálně je za ně někdy zčásti odpovědná i celková architektura příslušných systémů. Meziroční srovnání ukazuje, že množství objevených zranitelností v průmyslových systémech rok od roku stoupá, což značí rostoucí zájem útočníků.

K blokování škodlivých objektů došlo za celý rok 2019 na 46 % průmyslových ICS systémů, ve druhém pololetí to bylo na 39 % systémů. Z toho vyplývá, že mnoho průmyslových zařízení bylo škodlivému softwaru vystaveno opakovaně. Obdobně vysoké byly podíly takto napadených zařízení bez ohledu na konkrétní průmyslový obor (report obsahuje podrobnější data např. pro kategorie energetika, ropa/plyn, doprava, medicínský průmysl, chemický průmysl, výroba automobilů, automatizace a řízení budov apod.). Relativně lépe chráněny byly organizace spadající pod vlády nebo armády.

Rizikovost se samozřejmě výrazně lišila podle zemí a USA i evropské země vyjma východu Evropy patřily k místům relativně bezpečným. Výrazně se zhoršila např. situace v Singapuru. Česká republika se dostala mezi 10 vůbec nejbezpečnějších zemí, a to na 6. místo, což konkrétně znamená, že ve 2. polovině loňského roku se malware objevil na 15 % českých systémů typu ICS. V zemích méně bezpečných obecně platí, že mnohem větší podíl incidentů je způsoben útoky přes internet. Nicméně i v bezpečných zemích jsou akce zevnitř odpovědné jen za menšinu útoků (bez ohledu na to, zda jde o útoky úspěšné nebo pokusy, které jsou včas odhaleny).

Speciálně vytvořený ransomware

Průmyslové provozy byly v loňském roce stále častěji rovněž cílem ransomwaru, a právě tato kategorie malwaru je z hlediska ohrožení provozu při úspěšném útoku zřejmě také nejnebezpečnější. Největší podíl těchto útoků byl v jihovýchodní Asii včetně Číny, v Evropě pak v Itálii. Zajímavé je, že při útocích na průmyslové systémy je velmi oblíbený (ve srovnání s ransomwarovými útoky obecně) nechvalně proslulý ransomware WannaCry, jehož první verze se objevila již v roce 2017. Na průmyslové provozy ale útočil i šifrovací malware GandCrab, který je provozován v režimu služby (malware-as-a-service). Za několika incidenty stál ransomware Ryuk, RobinHood a Sodinokibi (Revil). Speciálně na průmyslové podniky je pak zacílen v loňském roce poprvé zaznamenaný MegaCortex a Snake. Než se tyto programy začnou pokoušet šifrovat data, zastaví totiž vedle bezpečnostních řešení, databázových serverů a prohlížečů, speciálně i různé druhy softwaru pro průmyslovou automatizaci, včetně softwaru General Electric a Honeywell (k zašifrování souborů nebo dat v databázi bývá třeba ukončit spuštěné procesy, které s těmito daty manipulují).

Systémy ICS vyžadují zvláštní ochranu

Jak se mají průmyslové podniky před útočníky chránit? Část z doporučení je nespecifická, tj. platí pro všechny organizace bez ohledu na obor jejich podnikání. DataGuard doporučuje školit zaměstnance z hlediska bezpečnostních rizik, které mohou vznikat při práci s e-maily, zakázat spouštění maker v Microsoft Office i skripty PowerShell. Všechny koncové body je třeba vybavit bezpečnostním softwarem. Administrátorské účty používejte pouze v nutných případech, nikoliv pro běžnou práci. Při podezření, že došlo k napadení systému, se postarejte nejenom o tento samotný systém, ale také o změny hesel u všech účtů, které se k napadenému systému připojovaly. Speciální pozornost pak vyžaduje zajištění bezpečnosti při hromadném přechodu práce na dálku. Průmyslové firmy by každopádně měly používat bezpečnostní produkty určené výhradně pro podnikovou sféru, které jsou navrženy i pro ochranu před pokročilými útoky (APT apod.) a pomocí behaviorální analýzy dokáží rozpoznat i dosud neznámé hrozby.

Část doporučení pak závisí na konkrétním podnikání. U průmyslových podniků věnujte speciální pozornost systémům ICS/SCADA a vestavěným systémům včetně IoT/IIoT. Připojení těchto systémů/zařízení k internetu je třeba zvážit, vzdálený přístup k nim povolit pouze prostřednictvím virtuální privátní sítě. Aktualizovat používaný software, a to i v případě, že dodavatel nenabízí instalaci oprav a záplat automaticky a proces může vyžadovat přerušení provozu zařízení. I když zařízení nemusí být vzdáleně přístupné, malware do něj může proniknout i z jiných vnitrofiremních systémů, pokud se je útočníkům podaří kompromitovat. Běžným vektorem pro přenos malwaru do fyzicky oddělených systémů jsou přenosná paměťová média.

Aleš Pikora, ředitel divize DataGuard

PCS, spol. s r.o.