Средства взлома промышленных систем становятся общедоступными

В отчёте, опубликованном FireEye, эксперты по кибербезопасности ее аналитической службы Mandiant Threat Intelligence предупреждают, что обилие широкодоступных средств взлома индустриальных систем управления (ICS) повышает риски для организаций, работающих в промышленности.

«Хотя некоторые из инструментов, включенных в наш список, были созданы еще в 2004 году, большая часть разработок относится к последнему десятилетию», – заявила FireEye.

Наряду с универсальными инструментами, сканирующими общие индикаторы, которые присутствуют во всех сетях ICS, FireEye обнаружила и средства, разработанные для взлома оборудования ICS конкретных OEM-производителей, включая Schneider Electric, GE, ABB, Digi International, Rockwell Automation и Wind River Systems.. Главной же их целью является Siemens: на продукцию этой компании потенциально ориентировано 60% специализированных инструментов промышленных хакеров.

FireEye также отмечает разнообразие предложений, атакующих сети и устройства ICS. Её сотрудники нашли утилиты, сканирующиe сети в поисках оборудования ICS, инструменты для взаимодействия с ячеистыми (mesh) радиосетями, с ИК-портами, служащими для соединения устройств ICS между собой, для атак ransomware и многие другие.

Используя эти готовые решения даже преступники, не имеющие опыта разработки, могут нажатием нескольких кнопок организовывать и проводить сложные и многоуровневые атаки на ответственные компоненты промышленной инфраструктуры.

Согласно FireEye, большинство хакерских инструментов ICS, которые отслеживались Mandiant Threat Intelligence с 2010 г., это модули эксплойтов для трёх самых популярных на сегодняшний день платформ тестирования на проникновение. Бесплатные (Metasploit) и коммерческие (Core Impact, Immunity Canvas) действуют как репозитории, которые могут содержать сотни модулей для различных уязвимостей, сетей и устройств. Они предназначены для вполне законной оценки состояния безопасности предприятий, однако хакеры регулярно пользуются ими с менее благовидными намерениями.

Кроме того, с 2017 года участники сообщества Open Source работают над созданием новых фреймворков тестирования на проникновение для ICS. К наиболее известным представителям этого поколения платформ ручного тестирования ICS относят Autosploit, Industrial Exploitation Framework (ICSSPLOIT) и Industrial Security Exploitation Framework.

FireEye подчёркивает, что компании должны знать о наличии и расширенных функциях этих инструментов и уметь противодействовать их использованию в руках злоумышленника.