Przemysłowe systemy sterowania ICS/SCADA celem hakerów
Ostatnia aktualizacja 14 kwietnia, 2022
Agencje CISA, NSA, FBI i DOE ostrzegają, że celem grup hakerskich stały się przemysłowe systemy sterowania. Cyberprzestępcy wykorzystują złośliwe oprogramowanie do skanowania, zarażania i przejmowania kontroli nad urządzeniami przemysłowych systemów sterowania (ICS) oraz nadzoru nad urządzeniami do kontroli i pozyskiwania danych (SCADA).
Zobacz – Hakerzy mogą atakować zasilacze awaryjne
Przemysłowe systemy sterowania ICS/SCADA – ochrona
Agencja CISA przedstawiła listę działań, które należy podjąć w celu ochrony urządzeń ICS/SCADA. Poniżej prezentujemy zalecenia.
- Egzekwuj uwierzytelnianie wieloskładnikowe dla wszystkich zdalnych dostępów do sieci i urządzeń ICS, gdy tylko jest to możliwe.
- Zmieniaj wszystkie hasła do urządzeń i systemów ICS/SCADA według spójnego harmonogramu, zwłaszcza wszystkie hasła domyślne do urządzenia. Unikalne, silne hasła pozwolą ograniczyć ataki typu brute force i umożliwią systemom monitorowania wykrywania typowych ataków.
- Wykorzystaj prawidłowo zainstalowane rozwiązanie do ciągłego monitorowania OT, aby rejestrować i ostrzegać o złośliwych działaniach.
Narażone na ataki są szczególnie takie urządzenia jak:
- Programowalne sterowniki logiczne (PLC) Schneider Electric,
- Sterowniki PLC OMRON Sysmac NEX,
- Serwery Open Platform Communications Unified Architecture (OPC UA).
Hakerzy ciągle pracują nad łamaniem zabezpieczeń
Hakerzy tworzą nowe narzędzia, które umożliwiają im skanowanie systemów w poszukiwaniu luk pozwalających na dostęp do danych. Zależy im także na przejmowaniu kontroli nad komputerami, urządzeniami IoT oraz urządzeniami przemysłowymi.
Według raportu CISA nowe narzędzia są w stanie przejąć kontrolę nad urządzeniami korzystającymi z takich komponentów jak:
- Schneider Electric MODICON i MODICON Nano PLC, w tym (ale nie tylko) TM251, TM241, M258, M238, LMC058 i LMC078;
- OMRON Sysmac NJ i NX PLC, w tym (ale nie tylko) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK i R88D-1SN10F-ECT;
- Serwery OPC Unified Architecture (OPC UA).
Cyberprzestępcy są w stanie tworzyć automatyczne systemy, które samodzielnie mogą atakować urządzenia zawierające wymienione moduły.
Jak chronić zagrożone systemy?
DOE, CISA, NSA i FBI zalecają wszystkim organizacjom wykorzystującym przemysłowe systemy sterowania ICS/SCADA wdrożenie następujących środków łagodzących i zapobiegawczych:
- Izoluj systemy i sieci ICS/SCADA od sieci korporacyjnych i internetowych.
- Ograniczyć wszelką komunikację wchodzącą lub wychodzącą z obszarów ICS/SCADA.
- W miarę możliwości wymuszaj uwierzytelnianie wieloskładnikowe dla wszystkich zdalnych dostępów do sieci i urządzeń ICS.
- Przygotuj plan reagowania na incydenty i regularnie ćwicz go z interesariuszami z branży IT, cyberbezpieczeństwa i operacji.
- Zmieniaj wszystkie hasła do urządzeń i systemów ICS/SCADA zgodnie ze spójnym harmonogramem, zwłaszcza wszystkie hasła domyślne, na silne hasła unikalne dla urządzeń, aby złagodzić ataki typu brute force na hasła.
- Utrzymuj znane dobre kopie zapasowe offline, aby przyspieszyć odzyskiwanie po destrukcyjnym ataku. Przeprowadzaj kontrole haszowania i integralności plików konfiguracyjnych oprogramowania układowego i kontrolera, aby zapewnić ważność tych kopii zapasowych.
- Ogranicz połączenia sieciowe systemów ICS/SCADA tylko do specjalnie dozwolonych stacji roboczych.
- Solidnie chroń systemy zarządzania, konfigurując Device Guard, Credential Guard oraz integralność kodu hiperwizora (HVCI). Zainstaluj rozwiązania Endpoint Detection and Response (EDR) w tych podsieciach i upewnij się, że skonfigurowano silne ustawienia reputacji plików antywirusowych.
- Implementuj niezawodne zbieranie i przechowywanie dzienników z systemów ICS/SCADA i podsieci zarządzania.
- Wykorzystaj rozwiązanie do ciągłego monitorowania OT, aby ostrzegać o złośliwych działaniach.
- Upewnij się, że wszystkie aplikacje są instalowane tylko wtedy, gdy są one konieczne do działania.
- Egzekwuj zasadę najmniejszych przywilejów. Konta administratora należy używać tylko wtedy, gdy jest to wymagane do wykonywania zadań, takich jak instalowanie aktualizacji oprogramowania.
- Zbadaj objawy odmowy usługi lub zerwania połączenia, które objawiają się opóźnieniami w przetwarzaniu komunikacji, utratą funkcji wymagającą ponownego uruchomienia i opóźnionymi działaniami w komentarzach operatorów jako oznaki potencjalnej złośliwej aktywności.
- Monitoruj systemy pod kątem ładowania nietypowych sterowników, szczególnie dla płyt głównych ASRock, jeśli żaden sterownik ASRock nie jest normalnie używany w systemie.
Sprawdź – Najpopularniejsze hasła w sieci. Sprawdź czy twoje też wyciekło