Podíl útoků na ICS klesl, s výjimkou automatizace budov a ropného a plynárenského průmyslu
30.09.2020
Podíl útoků na ICS klesl, s výjimkou automatizace budov a ropného a plynárenského průmyslu

​Ve srovnání s první a druhou polovinou minulého roku stoupl za prvních šest měsíců tohoto roku podíl kybernetických útoků na počítačové systémy v ropném a plynárenském průmyslu a na automatizační systémy budov. K tomuto nárůstu došlo navzdory celkovému poklesu útoků na počítače řídicích průmyslových systémů (ICS). Kyberzločinci se totiž zaměřili na zacílené útoky proti konkrétním cílům.

Útoky proti průmyslovým podnikům bývají obzvláště zničující, a to jak z hlediska výroby, tak finančních ztrát. V poslední době se navíc staly daleko cílenějšími a jejich strůjci bývají velmi často pokročilé kyberzločinecké skupiny s rozsáhlými zdroji, jejichž cílem nemusí být jen finanční zisk, ale také kybernetická špionáž.

Od začátku ledna do konce června byla ke kybernetickým útokům nejvíce náchylná průmyslová odvětví z oblasti ropy a plynárenství a automatizace budov. Co se týče útoků na oblast průmyslu zpracovávajícího ropu a plyn, jsou kyberútoky obzvláště zničující, vezmeme-li v úvahu obrovské finanční ztráty způsobené koronavirovou pandemií. Procento počítačů ICS v oblasti automatizace budov, na kterých byly zablokovány škodlivé objekty, vzrostlo z 38 % ve 2. pololetí 2019 na 39,9 % v 1. pololetí 2020. V ropném a plynárenském průmyslu tato procenta vzrostla z 36,3 na 37,8 %.

Systémy automatizace budov jsou obecně náchylnější ke kybernetickým útokům. Oproti tradičním počítačům ICS totiž nabízejí útočníkům daleko více možností – jsou často připojeny k firemním sítím a internetu. Zároveň tyto systémy nebývají spravovány interním firemním týmem zaměřeným na IT bezpečnost, protože patří dodavatelským organizacím, což z nich dělá snadnější cíle.

Za nárůstem počtu útoků na ICS počítače v ropném a plynárenském odvětví stojí vývoj několika různých červů (škodlivých programů, které se samy replikují na infikovaných zařízeních) napsaných v programovacích jazycích Python a PowerShell. Tito červi jsou schopni shromažďovat přihlašovací údaje z paměti systémových procesů pomocí různých verzí infrastruktury Mimikatz. Od konce března do poloviny června 2020 bylo velké množství těchto červů detekováno zejména v Číně a na Blízkém východě.

Dvě zmíněná odvětví ale byla jediná, která za první pololetí tohoto roku zaznamenala zvýšení procenta napadených ICS systémů. Možným důvodem je přesunutí pozornosti kyberzločinců z hromadných útoků na distribuci zacílených hrozeb. Začali tak častěji používat backdoory (nebezpečné trojské koně, díky nimž získají vzdálenou kontrolu nad napadeným zařízením), spyware (škodlivé programy určené ke krádežím dat) a ransomwarové útoky zacílené na konkrétní organizace. V uplynulém půlroce bylo detekováno a zablokováno na ICS počítačích znatelně více backdoorových rodin a spywaru vytvořených na .NET platformě. V prvním pololetí také oproti druhé půlce minulého roku mírně vzrostlo množství ICS počítačů napadených ransomwarem. Tento trend se týkal všech odvětví, obzvláště pak lékařských zařízení a firem z oblasti těžkého průmyslu.

„Množství ICS počítačů napadených ve většině průmyslových odvětví kleslo. I přes to ale stále existují hrozby, se kterými je nutné se vypořádat. I když k zacíleným útokům dochází méně často, mají veliký potenciál napáchat vyšší škody. A vzhledem k tomu, že byla řada firem nucena odvolat své zaměstnance na tzv. home-officy, což znamenalo přihlašování uživatelů do firemních systémů z domova, jsou ICS počítače více vystaveny kybernetickým hrozbám. Zároveň je také k dispozici méně odborných pracovníků, kteří by na síťový provoz dohlíželi a mohli reagovat na útok,“ varuje Eugene Goncharov bezpečnostní odborník ze společnosti Kaspersky.

Více informací o hrozbách zaměřených na ICS počítače v prvním pololetí 2020 se dozvíte na stránce ICS CERT.