Оружие массового шифрования
Как компьютерные террористы могут взять в заложники города и страны
В США 7 мая хакеры парализовали нефтяной трубопровод Colonial Pipeline, остановив транзит 45% топлива, потребляемого восточной частью Соединенных Штатов Америки. Эксперты уверены, что мир входит в эпоху кибертерроризма, способного погружать в локдаун целые города и регионы. Благодатной почвой для этого выступит интернет вещей (IoT). RSpectr вместе с экспертами по информбезопасности выяснял, когда умная техника станет настоящей глобальной угрозой для человечества и как защитить жизненно важную инфраструктуру.
ПАРАЛИЧ ОТ ЦИФРОВОГО ВИРУСА
Хакерская корпорация DarkSide 7 мая зашифровала 100 Гб данных Colonial Pipeline, вынудив власти объявить в 17 штатах режим ЧС. Полностью восстановить работу удалось лишь 13 мая, после выплаты 5 млн долларов вымогателям. Эксперты назвали это событие крупнейшей в истории кибератакой на энергетическую инфраструктуру. Такие инциденты способны влиять на мировой рынок нефти и глобальную экономику. DarkSide заявила, что все их акции аполитичны и связаны с деньгами. «Это только один из самых громких публичных кейсов, на самом деле их в сотни раз больше. Успешная атака у этой группировки происходит минимум каждые два дня», – сообщил RSpectr руководитель департамента системных решений Group-IB Станислав Фесенко. В пятницу, 14 мая, DarkSide призналась в похищении с целью выкупа 740 Гб секретных и личных данных у французского отделения компании Toshiba.
Заместитель помощника президента США по национальной безопасности Энн Нюбергер сообщила, что власти ищут любые связи DarkSide с какими-либо государствами. Это подтверждает страхи Соединенных Штатов перед угрозой межгосударственных кибервойн.
Американские власти прекрасно понимают цену атак на критическую информационную инфраструктуру (КИИ), поскольку подвергались им еще в 2003 году. Тогда вирусный червь Slammer обрушил корпоративную сеть атомной электростанции в штате Огайо, после чего распространился на ее системы мониторинга безопасности и охлаждения. Главный компьютер электростанции вышел из строя, а на восстановление ушло шесть часов.
В 2010 году цифровой вирус атаковал уже «врагов демократии» – иранские предприятия, связанные с производством обогащенного урана. Сначала киберчервь Stuxnet попал в компании, занимающиеся созданием IT-систем для предприятий тяжелой промышленности. Затем через их оборудование проник на заводы. Вирус успел заразить 200 тыс. вычислительных устройств – пришлось избавиться от 1 тыс. центрифуг с ураном. В итоге ядерная программа Ирана была отброшена на несколько лет назад.
Инфраструктура США также является удобной мишенью благодаря повсеместному внедрению высоких технологий
В апреле этого года в Пенсильвании хакеры проникли в водоочистительные системы и попытались сбросить в водопровод критические дозы очистительных химикатов. «Если вы добавите больше хлора, фосфатов, это может привести к ситуации, когда придется слить все резервуары. Иначе людям станет плохо. Это может превратиться в настоящий кошмар», – приводит слова инспектора системы водоснабжения округа Бель Вернон (штат Пенсильвания) Гайя Круппы телеканал 6abc.
В феврале 2021 года аналогичный случай произошел во Флориде. Хакер изменил на водоочистных станциях уровень гидроксида натрия с 100 до 1,1 тыс. частиц на миллион. «Это очень большое и опасное повышение. Гидроксид натрия, или попросту щелочь, является главным компонентом очистителей слива жидкости», – сообщил шериф Боб Галтьери. Атаку удалось остановить. Выяснилось, что злоумышленник воспользовался обычным ПО для удаленного доступа.
«Примеры показывают, что угроза реальная и может привести к критическим последствиям. Хакеры косвенно уже убивают людей – в прошлом году в Германии умерла женщина, потому что ей не успели оказать медицинскую помощь: все системы в больнице заблокировал вирус-шифровальщик», – рассказал RSpectr, начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.
На днях хакеры атаковали информационные системы минздрава Ирландии. Об этом в воскресенье сообщил телеканал RTI со ссылкой на заявление представителей ведомства, передает ТАСС. По предварительным сведениям, речь идет об атаке с целью вымогательства выкупа, а не о государственном шпионаже.
В 2019 году были кибератаки на заводы немецкого концерна Rheinmetall, специализирующегося на производстве военной техники, вооружений и комплектующих для автомобилей. А в 2020 году от хакеров-шифровальщиков пострадала бразильская электроэнергетическая компания.
Современное вредоносное программное обеспечение (ВПО) способно манипулировать не только системами предприятий, но и автотранспортом, а также бытовыми электроприборами.
Можно взять под контроль автомобиль Tesla и вывести его на встречную полосу
Исследователи из компании Tencent Keen Security Lab опубликовали отчет с описанием успешной атаки на прошивку автомобиля Tesla Model S75. В качестве теста они взяли под контроль электронику автопилотируемой машины, включая удаленное управление рулевым колесом. За счет взлома они вынудили умную систему выехать на полосу встречного движения: нарисовали на снимке с камеры три маленьких квадрата в определенных местах, а модуль машинного зрения распознал их как линию разметки.
Эксперты по информбезопасности говорят, что не стоит в каждой атаке на инфраструктуру и значимые объекты искать правительственный политический след. В Group-IB отмечают, что многие криминальные группировки не связаны с государствами.
Станислав Фесенко, Group-IB:
– ВПО часто распространяется через криминальные партнерские программы. За последний год мы наблюдаем повышение интереса преступников к промышленным сетям.
ЭПОХА ГЛОБАЛЬНЫХ КИБЕРВОЙН
Автор книги «Цифровое будущее энергетики» Эми Майерс Джефф, говоря о блокировке трубопровода Colonial Pipeline, отметила, что США повезет, если у кибератаки не будет последствий. Однако это тревожный звонок для всего энергетического сектора.
В разговоре с RSpectr и.о. директора центра компетенций по ИБ компании «Т1 Интеграция» Игорь Кириллов поясняет, что глобальная цифровизация перекраивает будущее поле боя, в том числе для террористических атак.
Игорь Кириллов, «Т1 Интеграция»:
– В рамках digital-трансформации на многих предприятиях растет число киберфизических систем, использующих открытые протоколы взаимодействия. Они активно подключаются к интернету, например, с целью удаленного управления. Противостоять атакам поможет выстроенный процесс анализа и управления уязвимостями.
Чаще всего компании не замечают внедрения ВПО, поскольку хакеры становятся изощреннее и прорабатывают многоэтапные нападения длительностью до нескольких лет. Как сообщил RSpectr генеральный директор IT-компании Omega Алексей Рыбаков, подключение ведется через партнеров или поставщиков компании, с которыми налажены доверительные информационные каналы.
Алексей Рыбаков, Omega:
– Если проанализировать, насколько быстро крупные промышленные или энергетические предприятия с их киберзащитой и закрытостью могут выходить из строя, то, скорее всего, периметр безопасности многих из них уже взломан. Вирус находится в спящем режиме, и для завершения атаки с реальными последствиями требуется лишь триггер.
И.Рыжов уверен, что
хакерские группировки смогут парализовать целые города и даже регионы, беря под контроль свет, воду, транспорт и связь. Но полностью погрузить всю страну в хаос пока можно только в теории
Игорь Рыжов, «Информзащита»:
– Сама вирусная программа – лишь «боеголовка». А вот все, что обеспечивает прибытие «снаряда» на заданную точку, – это цепочка людей, ресурсов, действий. Набор этих сложных сущностей и их взаимосвязей сегодня уже нельзя назвать группой хакеров. Скорее это преступное бизнес-сообщество, где у каждого своя функция от написания ВПО до доставки и вымогательства.
Эксперт отмечает, что сегодня уже складывается угроза кибертерроризма от радикальных неправительственных групп. Но их успех зависит от масштабов таких объединений. Если это только мстители, хактивисты без поддержки криминального сообщества, то их поймают.
«Как показывает практика, независимые хакерские сообщества обладают достаточными ресурсами, чтобы организовывать масштабные нападения. Например, DarkSide представляет собой преступную корпорацию, которая способна вкладывать в атаки десятки миллионов долларов», – говорит А.Дрозд.
В то же время экс-хакер, основатель YouTube канала о хакинге Люди PRO Сергей Павлович рассказал RSpectr, что для атак на крупные объекты не обязательно иметь большую группу: «Я видел хакеров, которые в одиночку взламывали банки и уводили деньги. Хотя коллаборация между хакерами присутствует даже при работе с одной целью».
В ближайшем будущем ущерб понесут страны, в которых большинство процессов автоматизировано и управляется удаленно
С массовым внедрением IoT в инфраструктуру предприятий и домов, под колпаком у хакеров окажутся все оцифрованные объекты.
ПОЛЕ БИТВЫ – ИНТЕРНЕТ ВЕЩЕЙ
Технология 5G откроет новую эру кибервойн, в которой старые средства защиты станут бесполезными, уверены эксперты.
Алексей Рыбаков, Omega:
– Благодаря интернету вещей хакинг перейдет в плоскость межгосударственных кибервойн. И здесь цель – не выкуп, а разрушение критически важной инфраструктуры.
Представитель «СёрчИнформ» уверен, что сценарии атаки ничем не будут ограничены, поскольку можно воздействовать удаленно на функции устройств. Например, перепрограммировать датчики дыма, манипулировать светофорами. Если в умном устройстве (от чайника до принтера) есть нагревательный элемент, теоретически можно устроить пожар.
Вероятны и другие сценарии обмана искусственного интеллекта.
Алексей Дрозд, «СёрчИнформ»:
–В Германии в 2020 году художник перформанса «хакнул» карты Google. Он провез по пустой улице тележку с 99 телефонами с включенным GPS – система зафиксировала это как большую пробку. Тот же принцип кто-то использовал в феврале 2021 года в Москве, обманув карты «Яндекса» и взвинтив цены на такси. Теоретически похожим образом злоумышленники могут передавать умным системам фейковые сигналы. Это приведет к транспортным, энергетическим коллапсам.
Но теорию от практики нужно отделять, уверен эксперт. Например, в 2012 году исследователи из McAffee предупредили, что обнаружили уязвимости в кардиостимуляторах и вживляемых в сердце инсулиновых помпах. Хакеры потенциально могли их выключить, изменить режим подачи инсулина. Однако о реальных случаях подобных атак до сих пор неизвестно.
Основную опасность представляет сама концепция IoT, ведь разработчики гаджетов чаще думают об удобстве и функционале, чем о безопасности
«Основные причины атак на IoT – уязвимости в коде, отсутствие обновлений прошивки старых устройств, дефолтные пары логин-пароль, которые пользователи не меняют, а разработчики забывают предупредить о такой необходимости», – поясняет А.Дрозд.
КИБЕРВАКЦИНА ОТ ВИРУСОВ
В Европе обеспечивать защиту уже помогают провайдеры сетей IoT, а в России в дорогих домах «нарезают» VLAN (виртуальную локальную сеть), отмечает И.Рыжов. При этом «серебряной пули» от ВПО пока нет и не предвидится. Эксперты предлагают опираться на существующую российскую нормативную базу.
ФСТЭК России хорошо поясняет в своих документах, какие системы и кому надо установить для защиты КИИ, отмечает И.Рыжов. Если выполнять эти требования с логикой и ответственно, то эффективность защиты уже можно оценивать на уровне 90 процентов. Но попасть в 10% тех, кому не повезло, – перспектива печальная. Поэтому ИБ-команды думают о реальной кибербезопасности.
Это значит, необходимо иметь решения по ряду вопросов:
- Насколько эффективны обновления баз вирусов и ВПО, которые дают нам возможность что-то увидеть и предотвратить в корпоративной сети?
- Не устарели ли правила, которые детектируют активность в IT-инфраструктуре компании?
- Кто угрожает нам сегодня?
- Насколько отработано восстановление данных, если шифровальщик все-таки окажется на компьютерах корпоративной сети?
- Не поселился ли в моей IT-инфраструктуре чужой?
В то же время А.Дрозд считает, что нормативные акты в федеральном законе «О безопасности критической информационной инфраструктуры» №187 и приказы ФСТЭК не учитывают всех рисков. Например, среди обязательного к установке охранного ПО нет ни одного решения, направленного на защиту от внутренних угроз, инсайдерской утечки. Поэтому
добиться качественной безопасности реально, только если комплексно сочетать различные инструменты
Появляются и экспериментальные разработки, которые закладывают фундамент для будущего коммерческого применения технологий. Например, осенью прошлого года «Росатом» и «Ростелеком» продемонстрировали волоконно-оптическую линию связи с применением технологии квантового распределения ключей шифрования, сообщил И.Кириллов. В будущем при дистанционной работе персонала в промышленности и на объектах КИИ использование такого решения повысит безопасность этих предприятий.
Изображения: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ: