FireEye предупреждает о распространении готовых инструментов взлома ICS

   Растущее число хакерских инструментов, предназначенных для промышленного оборудования, постепенно становится проблемой.

Исследователи безопасности FireEye предупреждают, что распространение хакерских инструментов с возможностями нацеливания на промышленные системы управления (ICS) снижает уровень проникновения для злоумышленников и увеличивает риски для организаций, работающих в промышленном секторе.

В опубликованном сегодня исследовании компания заявила, что проанализировала все инструменты взлома с возможностями таргетирования ICS, которые были выпущены в последние годы.

«Хотя некоторые из инструментов, включенных в наш список, были созданы еще в 2004 году, большая часть разработки велась в течение последних 10 лет», - сказал сегодня специалист FireEye. Компания заявила, что большинство инструментов не зависит от поставщика и может сканировать общие индикаторы, которые обычно присутствуют во всех сетях ICS.

Тем не менее, исследователь FireEye сказал, что он также нашел инструменты, которые были разработаны для конкретных поставщиков ICS, предполагая, что они были явно созданы для взлома конкретной системы.

FireEye утверждает ,  что наиболее целевым поставщиком ICS был Siemens, причем 60% специализированных инструментов предназначались для его продуктов.

 ИНСТРУМЕНТЫ НАПРАВЛЯЮТСЯ НА ОТКРЫТИЕ И ЭКСПЛУАТАЦИЮ СЕТЕЙ

Но исследователи также отметили, что инструменты взлома, предназначенные для сетей и устройств ICS,  были очень разнообразными. Исследователи нашли инструменты для самых разных целей.

Например, специалисты нашли инструменты для сканирования сетей для устройств, специфичных для ICS, инструменты для использования уязвимостей в оборудовании ICS, инструменты для взаимодействия с ячеистыми радиосетями, обычно используемыми для соединения устройств ICS, и различные другие [см. изображение ниже].

    Широкий спектр инструментов означает, что субъекты угрозы могут создать полный наступательный арсенал, полагаясь на общедоступные инструменты, а не создавать все с нуля.

Однако это не только снижает планку и усилия, которые продвинутые (спонсируемые государством) хакеры должны приложить к созданию наступательного арсенала, но это также снижает планку для низкоквалифицированных угроз.

Субъекты угроз, не обладающие техническими знаниями о том, как работает промышленное оборудование, могут организовать атаки на цели ICS нажатием нескольких кнопок.

Распространение этих хакерских инструментов ICS среди участников угроз означает, что вместо того, чтобы защищать от небольшого набора хакерских групп с ограниченным арсеналом, теперь им приходится защищать от любого типа хакеров и всех инструментов, доступных в настоящее время на рынке.

Согласно отчета FireEye, большинство хакерских инструментов ICS, которые они отслеживали для этого исследования, были модулями для трех самых популярных на сегодняшний день платформ тестирования на проникновение, а именно Metasploit, Core Impact и Immunity Canvas.

Это бесплатные (Metasploit) и коммерческие (Core Impact,Immunity Canvas) инструменты, которые используют охранные фирмы и исследователи безопасности при оценке безопасности компании, заключившей договор на оказание услуг.

Однако злоумышленники также любят и регулярно используют эти инструменты.

Хотя три фреймворка для ручного тестирования были разработаны для общих целей, их также можно использовать для проверки безопасности промышленных сетей с помощью специальных модулей эксплуатации ICS.

FireEye сообщает, что в настоящее время отслеживает специфичные для ICS модули для этих трех платформ, которые связаны с более чем 500 уязвимостями.

В то время как Immunity Canvas содержит наиболее специфичные для ICS модули из всех трех сред тестирования пера, FireEye предупреждает, что компании должны уделять пристальное внимание Metasploit. Причина в том, что Metasploit - это проект с открытым исходным кодом, и это делает его более доступным для участников угроз, чем два других, обычно заблокированных за лицензиями и процессами проверки.

Более того, хакерские модули ICS для этих трех платформ также более равномерно распределены среди поставщиков, а эксплойты доступны почти для всех громких имен.

   Кроме того, FireEye сообщает, что с 2017 года пользователи сообщества открытого исходного кода также работают над созданием специфической для ICS среды тестирования на проникновение, которая в основном сосредоточена на типе сетей и уязвимостях, обнаруживаемых только в средах ICS.

Некоторые из наиболее заметных специфичных для ICS сред тестирования пера включают Autosploit, Структура промышленной эксплуатации (ICSSPLOIT) и Структура эксплуатации промышленной безопасности.

В дальнейшем FireEye предупреждает, что компании должны быть осведомлены о наличии этих инструментов и их расширенных функциях и соответствующим образом адаптировать индикаторы риска для своих угроз. Группы безопасности в компаниях, работающих на промышленном оборудовании, должны использовать эти инструменты для оценки и защиты своих систем, но они также должны иметь защитные меры для противодействия их использованию в руках злоумышленника.