В качестве основного инструмента для выявления нелегитимных точек онлайн-входа для работы со сторонними АСУ ТП использовалась поисковая система Shodan. Специализированный поисковик целенаправленно индексирует все подключенные к Интернету вычислительные устройства, доступные в адресном пространстве IPv4, и позволяет находить их с помощью различных поисковых запросов и фильтров. В исследовательской деятельности этот инструмент используется в том числе для оценки доступности собственных систем из сети Интернет. «При работе с данным инструментом нужно учитывать, что среди результатов поиска нередко встречаются ловушки (honeypot) - устройства с намеренно оставленными уязвимостями, используемые в качестве приманки для злоумышленников. В процессе исследования данные ловушки были отфильтрованы нашими специалистами. В целом, такое исследование требует технических знаний для анализа информации. Если вы хотите провести анализ доступности устройств вашей сети или полноценный аудит своей системы – лучше обратиться к специалистам. Особо хочу отметить, что сотрудничество с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) позволило оповестить затронутые субъекты КИИ о результатах исследования с целью устранения обнаруженных уязвимостей», - рассказал технический директор InfoWatch ARMA Игорь Душа.
В результате исследования эксперты InfoWatch ARMA получили список открытых в сети Интернет элементов промышленных систем управления в России. Более 700 устройств из найденных имеют критические уязвимости. Компания InfoWatch ARMA направила владельцам объектов КИИ, рекомендации по выявлению и устранению уязвимостей. Исследование показало, что доступ к АСУ ТП и промышленной сети злоумышленник может получить через сетевые сервисы без аутентификации и устаревшие версии служб, имеющие уязвимости, позволяющие произвести удаленный доступ. Из-за того, что на открытых портах не настроена аутентификация, киберпреступники могут получить неограниченный доступ уязвимому устройству. В ряде случаев это дает возможность доступа к сети предприятия, включая SCADA и другие критически важные компоненты АСУ ТП. Из более 4000 найденных устройств, 2000 – коммутационное оборудование, на 500 из которых не настроена авторизация. Оборудование найденных производителей часто используются в критической инфраструктуре, включая электростанции, очистные сооружения и химические заводы.
«Применяемые для исследования инструменты достаточно примитивны для точного выявления компании-собственника оборудования, расположения уязвимого объекта или сферы деятельности владельца. Однако их достаточно для проведения массированной кибератаки или для сбора информации о возможностях проникновения. Уже не раз публиковалась информация о потенциале использования данных инструментов (Shodan, Censys) злоумышленниками. И пусть среди найденных устройств немало ловушек (honeypot) и оборудования физлиц, предупреждение владельцев даже малого количества реальных объектов КИИ – существенный вклад в повышение уровня их защищенности. Во избежание неприятных последствий промышленным организациям нужно уделять больше времени вопросам сетевой безопасности, что в частности требует 187-ФЗ», - резюмирует Игорь Душа.