Кибератаки на веб-инфраструктуру АСУ ТП объектов водоснабжения: подход к обнаружению и предотвращению

В статье экспертов Военно-космической академии им. А.Ф. Можайского А.Н. Киселёва, С.В. Теткина, Н.А. Якунина, П.С. Лысикова, опубликованной в журнале «НДТ», проведен анализ современных технологий кибератак на инфраструктуру автоматизированных систем управления технологическими процессами объектов водоснабжения с использованием веб-ориентированного вредоносного программного обеспечения. Рассмотрены основные сценарии проведения кибератак, предложены практические рекомендации по организации защиты и снижения уязвимости АСУ ТП.

Редакция НДТ&VodaNew знакомит читателей с фрагментами публикации, которую можно прочитать полностью на сайте НДТ-ИНФО.РФ.

Введение

Современные производства активно автоматизируются и цифровизируются, что приводит к объединению технологических и корпоративных сетей. В результате снижается изоляция АСУ ТП объектов водоснабжения (ВС), делая их уязвимыми для кибератак. Злоумышленники используют социальную инженерию, вредоносное ПО и уязвимости логического периметра (определяет границы доступа через сети и системы) для доступа к управлению технологическими процессами.

Согласно данным «Лаборатории Касперского», количество целенаправленных атак на АСУ ТП объектов ВС за последние годы удвоилось. Последствия таких атак могут быть катастрофическими: от нарушения работы систем водоснабжения до экологических и социальных кризисов. Кроме того, участились случаи взлома критической инфраструктуры с целью шпионажа, кибертерроризма и эскалации конфликтов.

Анализ инфраструктуры АСУ ТП объектов ВС

Промышленные системы управления (ПСУ) обычно состоят из нескольких компонентов:

1. Программируемые логические контроллеры (ПЛК) − цифровые устройства для управления производственными процессами.
2. Человеко-машинный интерфейс (ЧМИ) – обеспечивает взаимодействие оператора с системой.
3. Датчики и исполнительные устройства − используются для сбора информации о процессе и управления им.
4. Коммуникационные сети − используются для обмена информацией между компонентами ПСУ.
5. Программное обеспечение − используется для программирования ПЛК, конфигурирования HMI и мониторинга процесса.

ПЛК — ключевой компонент АСУ ТП объектов ВС. Они обрабатывают данные от датчиков, управляют исполнительными механизмами. ПЛК используют встроенное ПО для взаимодействия с аппаратным обеспечением и логикой управления.

Анализ кибератак на ПСУ

Типичные цели атак на ПСУ:

1. Нарушение функционирования ПСУ.
2. Несанкционированный доступ к ПСУ.
3. Манипулирование данными.
4. Использование вредоносного ПО.
5. DoS/DDoS-атаки.

Эти примеры атак на АСУ ТП объектов ВС показывают, что проникновение в производственные сети возможно разными методами: заражением ПО, USB-носителями, внутренними угрозами.

Ключевыми целями атак становятся ПЛК. Исследования показывают, что до 75 % мировых производителей ПЛК выпускают устройства, уязвимые к таким атакам. Это делает проблему кибербезопасности АСУ ТП объектов ВС чрезвычайно актуальной.

В статье представлена новая технология атаки на ПЛК с использованием вредоносного JavaScript-кода, внедряемого во встроенный веб-интерфейс контроллера. В отличие от традиционных методов, это веб-ориентированное вредоносное ПО работает в памяти ПЛК, выполняется на стороне клиента через браузер и использует легитимные учетные данные для атак через веб-API [1]. Такой подход проще внедрить, так как он платформо-независим, работает в реальном времени и устойчив к сбоям.

Сравнительный анализ веб-интерфейсов IoT-устройств и ПЛК показал, что существуют различные подходы в его использовании.

Устройства «Интернета вещей», такие как сетевые принтеры или Wi-Fi роутеры, также имеют встроенные веб-серверы для удалённого управления. Атаки, использующие уязвимости вроде слабой аутентификации или паролей по умолчанию, позволяют получить доступ и переконфигурировать устройство либо использовать его как бот для DDoS-атак.

Встроенные в ПЛК веб-серверы обладают значительно большим функционалом и применяются для непрерывного мониторинга и управления с помощью программируемых веб-приложений, работающих на специализированных клиентских устройствах. Эта функциональность стала настолько востребованной, что практически каждый крупный поставщик ПЛК сегодня включает встроенный веб-сервер в свою продукцию. Такое использование встроенных веб-технологий создаёт новый вектор атаки − внедрение и скрытое выполнение вредоносного кода.

Веб-серверы периферийных устройств АСУ ТП часто доступны из Интернета и слабо защищены. Авторы провели сканирование сети, обнаружили уязвимые веб-интерфейсы удалённого управления и успешно их атаковали. Результаты свидетельствуют, что веб-технологии внедряются без должного учёта рисков. В отличие от ПЛК, работающих внутри сети, такие устройства размещаются на периметре с открытыми интерфейсами, что делает их лёгкой мишенью для атак.

Сравнительный анализ функциональных возможностей вредоносного ПО для ПЛК

На рис. 1 показан пример наиболее распространенной архитектуры производственной сети АСУ ТП объектов ВС.

Рис. 1. Архитектура промышленной сети АСУ ТП объектов ВС

Уровень 4/5 − корпоративная сеть предприятия, в которой выполняются основные задачи по управлению предприятием и координируется производственные операции. Этот уровень обычно подключен к Интернету через брандмауэр.

На уровне 3 управление производственным процессом осуществляется в центрах дистанционного управления. Этот уровень состоит из серверов для записи операционных данных, а также специальных ПК, управляемых через удаленный ЧМИ.

На уровне 2 функционирует программное обеспечение диспетчерского управления и сбора данных (SCADA) и локальные ЧМИ для удаленного управления. Эти ЧМИ используются для мониторинга и управления физическими процессами в ПЛК. Устройства на этом уровне и ниже подключены исключительно к промышленной сети.

На уровне 1 функционируют локальные контроллеры, такие как ПЛК, которые выполняют измерения и управление технологическими процессами с помощью датчиков.

Традиционные уязвимости, используемые для атак на ПЛК, не могут быть внедрены из веб-среды, поскольку браузеры позволяют веб-сайтам использовать только веб-ориентированные протоколы.

Вредоносное веб-ориентированное ПО для ПЛК представляет новый сценарий заражения, который был невозможен ранее. Как показано на рис. 2, в этом сценарии злоумышленник «заманивает» оператора ПСУ на уровне 3 для просмотра вредоносного веб-сайта. Этот сценарий исходит из общедоступного Интернета и использует веб-запросы из разных источников для перехода в частную промышленную сеть.

Таким образом, веб-уязвимости ПЛК более опасны с точки зрения удаленных атак.

Рис. 2. Сценарий атаки и последующего распространения вредоносного веб-ориентированного ПО

На рис. 2 (правая часть) показано принципиальное отличие веб-ориентированных угроз от традиционных: хотя такое ПО хранится в памяти ПЛК, его выполнение происходит в браузерах уровней 2 и 3. Особую опасность представляют браузеры уровня 3, имеющие доступ в интернет через корпоративную сеть. Это позволяет вредоносному ПО устанавливать HTTP-соединения с C2-сервером, используя корпоративную сеть уровней 4/5 как шлюз для выхода в Интернет.

Основные этапы функционирования веб-ориентированного вредоносного ПО

Общий сценарий атаки

В рамках исследования предполагается, что операторы АСУ ТП объектов ВС используют инженерные рабочие станции, которые имеют одновременный доступ как к корпоративной сети, так и к промышленной сети, и что обе сети защищены с помощью настроенных межсетевых экранов. Инженерные рабочие станции защищены с использованием типовых средств защиты, ПЛК использует безопасные настройки.

В этом сценарии злоумышленник преследует цель получить несанкционированный доступ к исполнительным элементам ПЛК путем внедрения кода JavaScript, где он будет выполнятся на веб-сервере ПЛК внутри сети.

Вредоносный код JavaScript злоумышленника должен бескомпроматно выполняться в браузерах всех устройств и соответствовать всем настройкам браузера. Злоумышленник будет считать атаку успешной, если он сможет своими действиями причинить физический ущерб работе предприятия.

Этап проникновения в АСУ ТП объектов ВС

На начальном этапе требуется развернуть вредоносный JavaScript на вэб-сайте ПЛК.

Для этого используются различные подходы:

1. Использование технологии вредоносных веб-страниц, созданных пользователями.
2. Использование технологии перехвата и подмена обмена элементов пользовательского интерфейса, который транслируется во внешние файлы.
3. Использование технологии, заключающейся во внедрении в выдаваемую веб-системой страницу вредоносного кода.

Каждый подход имеет свое сильные и слабые стороны и применяется в зависимости от условий и конкретной АСУ ТП объектов ВС.

Этап выполнения полезной нагрузки вредоносного ПО

В рамках осуществления деструктивной деятельности веб-ориентированное вредоносное ПО будет осуществлять следующие мероприятия:

1. Нарушение нормального режима функционирования оборудования АСУ ТП объектов ВС.
2. Получения привилегий администратора.
3. Получение несанкционированного доступа к данным.

Этап сокрытия присутствия (удаления из сети АСУ ТП объектов ВС)

Заключительным этапом проведения целенаправленной атаки является удаление любых следов деструктивной деятельности в промышленной сети АСУ ТП объектов ВС.

Для этого используются следующие подходы:

1. Удаление веб-ориентированного ПО с хранилища ПЛК. Этот сценарий зависит от того, каким образом вредоносное ПО было размещено в ПЛК.
2. Восстановление из резервной копии ПО ПЛК. Даже после того, как вредоносное ПО было удалено из хранилища ПЛК, следы все еще могут оставаться в журналах доступа и/или скрытых кэшах памяти. Поэтому производится полная перезапись из резервной копии ПО ПЛК.

Выводы

Исследования показали, что большинство современных средств защиты информации для ПЛК не способны обнаружить атаки с применением веб-ориентированного вредоносного ПО для ПЛК.

Анализ показал, что большинство средств защиты от вредоносного ПО для ПЛК сегодня основаны на проверке логики управления встроенного ПО, которые не используются в рассмотренной атаке.

Обнаружение веб-ориентированного вредоносного ПО на уровне браузера также затруднено: вредоносный JavaScript используется вместе с легитимным JavaScript ПЛК (выполняется из того же источника) и соответствует политике безопасности. Современные веб-серверы ПЛК являются программируемыми и исполняют внешний код без верификации, что исключает возможность чёткой фильтрации доверенного JavaScript от поставщика.

Для предотвращения атак рассмотренного типа предлагаются следующие меры:

1. Разграничение связи между Интернетом и «интрасетью» АСУ ТП объекта ВС.
2. Регулярные проверки защищенности АСУ ТП объектов ВС с инвентаризацией информационных систем.
3. Регулярное резервное копирование систем хранения данных.
4. Проведение регулярной переподготовки сотрудников для повышения осведомленности о киберугрозах.
5. Обеспечение защиты браузеров – добавления встроенной защиты от эксфильтрации.
6. Весь код JavaScript, созданный пользователем ПЛК (либо в файлах веб-страниц, либо в файлах графического пользовательского интерфейса), должен быть полностью изолирован от веб-сервера, поставленного поставщиком ПЛК.

[1] API − набор протоколов и определений, которые позволяют различным программным компонентам или программам взаимодействовать друг с другом и обмениваться данными. − Примеч. ред.