XENOTIME – APT, поразяваща критичната инфраструктура.
В наши дни киберпрестъпността засяга всички видове бизнес. Тази година видяхме кибератаки срещу градските управи, производителите на алуминий и дори над такива известни компании като Amazon. Всички тези инциденти имат тежки последици за потърпевшите, от увреждане на репутацията и прекъсвания в производствената верига, до парализиране на цялата дейност и налагане на тежки глоби.
Без съмнение, един сектор е особено уязвим: критичната инфраструктура. Кибератака, която е засегнала водоснабдяването на една страна или прекъснала обслужване болница, може дори да доведе до загуба на човешки живот.
XENOTIME: заплаха за индустриалните системи за управление
Миналата година си зададохме върпоса какво ще се случи, ако една атака прекъсне захранването на страната. Сега изглежда, че тази ситуация може да стане реалност.
XENOTIME е APT (Advanced Persistent Threat), която има предполагаеми връзки с Русия. Ста известна, когато извърши атака върху системите за индустриален контрол на нефтена компания в Близкия изток, използвайки зловреден софтуер, който успя да се намеси в системата на компанията за безопасност (SIS). Към днешна дата, той все още е един от малкото зловреден софтуер, който успя да повлияе на физическия процес на ICS(индустриални системи за контрол).
След този инцидент XENOTIME започна да атакува компании извън Близкия изток и дори успя да компрометира няколко доставчици на ICS, което потенциално дава възможност за атака на веригата за доставки.
Наскоро изследователи от компания за киберсигурност са забелязали, че XENOTIME е започнала да проучва мрежите от електрически компании за комунални услуги в Съединените щати и Азиатско-Тихоокеанския регион, търсейки информация и изброявайки мрежовите ресурси, свързани с тези компании.
Изследователите обясняват, че това поведение може да покаже, че групата подготвя друга кибератака или поне подготвя предпоставките за бъдещо проникване на ICS. Тези дейности са в съответствие с първата фаза на ICS Cyber Kill Chain, включително опити за удостоверяване с идентификационни данни или възможни опити за пълнене на идентификационни данни.
Промяна на тактиката
Тази промяна на целта е необичайна за APT, които атакуват ICS. Тези атаки са сложни и скъпи, което означава, че групите са склонни да фокусират усилията си върху един сектор в една географска област – петролните компании в Близкия изток, например. Фактът, че XENOTIME инвестира в разнообразяването на своите дейности и географския си обхват, може да бъде предвестник на бъдещето, в което APT имат много по-големи обхвати.
Критичната инфраструктура е уязвима
През 2018 г. уязвимостите в критичната инфраструктура се увеличиха с 14% в сравнение с предходната година, а броят на предупрежденията за уязвимостта се очаква да продължи да нараства през 2019 г. Всъщност през последните две години 90% от критичните инфраструктури бяха засегнати поне от една кибератака.
Американското министерство на енергетиката осъзнава колко уязвима може да бъде тяхната система. Ето защо през 2016 г. те проведоха „Liberty Eclipse”, симулация на кибератака, която предизвика прекъсване на тока в осем държави. Отделът искаше да тества отговорите на този вид инцидент, както и да ангажира служители в дискусии за подготовката за кибер инциденти.
Как да ограничим кибератаките на критичната инфраструктура
Този вид симулация е много добър начин да се разбере как една компания би реагирала на кибератака от този мащаб. За да се гарантира, че те са защитени, тези компании трябва да следват редица препоръки.
1.- Анализ на слабите места. Важно е организациите да извършат задълбочен анализ на техните системи, за да ги опознаят в детайли. По този начин те ще могат да открият всички уязвимости или слаби места. Освен че защитават тези точки, ръководителите на киберсигурността трябва да им дадат приоритет в своите планове за сигурност и дори да обмислят възможността да ги изолират, ако те представляват сериозен риск.
2.- Автоматична реакция. Когато се появи кибер-заплаха, времето е от съществено значение. Макар че спирането на кибератака от влизане в системата е приоритет, важно е също така да има протоколи за действие и автоматични отговори, за да се реши всеки проблем, ако стане неизбежен.
3.- Постоянен мониторинг. Най-добрият начин да спрете всяка заплаха от засягане на нашите системи е да знаете точно какво се случва на тях по всяко време. Panda Adaptive Defense следи всички процеси, които се изпълняват в системата в реално време. Той открива всяка необичайна активност и спира неизвестни процеси. По този начин тя може да спре всяка опасност, преди тя да може да се случи
Кибератака върху инфраструктурата на една страна може да има опустошителни последици. Ето защо подготвихме бяла книга за киберсигурността за този вид инфраструктура. В този документ можете да откриете заплахите, които могат да застрашат критичната инфраструктура и как да ги избегнете.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08