От фишинга к компрометации данных: новый вектор атак на АСУ ТП

В 2024 году злоумышленники выбрали новые векторы атак на автоматизированные системы управления техпроцессами (АСУ ТП) — самым популярным способом проникновения в инфраструктуру стала компрометация учетных данных. К такому выводу пришли в экспертно-аналитическом центра (ЭАЦ) InfoWatch в ходе исследования «Тенденции развития киберинцидентов АСУ ТП за 2024 год». Чаще всего объектами атак становятся машиностроительные, транспортные и производственные предприятия, а также компании из сферы энергетики.

Одна из важных тенденций по итогам нескольких последних лет, которую отмечают авторы исследования, — это изменение вектора атак на АСУ ТП. В 2020 году злоумышленники для проникновения в инфраструктуру чаще всего использовали внешние устройства (24% случаев), фишинг (22%) и устройства удаленного доступа (14%). По итогам 2024 года самым распространенным инструментом стала компрометация учетных данных (20%), атаки на цепочки поставок (15%) и устройства с доступом к интернету (13%). Точкой проникновения в инфраструктуру предприятия чаще всего становятся инженерные рабочие станции (30% атак), SCADA-серверы (25%) и программируемые логические контроллеры (ПЛК, 21%).

Интенсивность и продолжительность атак заметно возросла, указывают аналитики, — за последние два года количество киберинцидентов АСУ ТП в России выросло на 160%, это значительно выше общемирового показатель за тот же период (17%).

Что касается вредоносного ПО, которое используют при атаках, то здесь лидируют трояны-вымогатели, в том числе удаленного доступа — на них суммарно приходится более 70% всех инцидентов. При этом авторы исследования отмечают, что разработчики программ-вымогателей применяют все более сложные алгоритмы шифрования, улучшенные методы бокового перемещения внутри сетей и более эффективные механизмы уклонения от обнаружения. Нередко вредоносы пишутся специально для атаки на конкретное предприятие, с учетом особенностей построения его инфраструктуры.

Чаще всего злоумышленники атакуют машиностроительные предприятия — на них пришлось 38% от общего числа атак за 2024 год в России и 32% в мире, подсчитали эксперты ЭАЦ InfoWatch. На втором месте транспортная отрасль (24% и 28% соответственно), на третьем производственные предприятия и добыча (19% и 22%), на четвертом компании сферы энергетики (19% и 18%).

Количество целенаправленных атак на машиностроение за последние пять лет заметно выросло, аналогичная тенденция и в производственной сфере — пищевой, нефтеперерабатывающей и нефтехимической промышленности, металлургии, фармацевтике, отмечают авторы отчета. Число атак на сектор энергетики тоже выросло, что в первую очередь связано с усилением геополитической напряженности.

Любопытна и еще одна тенденция — в 2024 году в киберпространстве чаще стали действовать классические организованные преступные группировки, которые таким образом расширили сферу своей деятельности. В том числе с этим связан рост атак на машиностроение и производственный сектор — собственники несут значительные убытки от остановки производства, и это часто заставляет их платить выкуп вымогателям.

«Самыми привлекательными для киберпреступников являются распределенные структуры — энергетические, транспортные, а также компании с удаленными площадками. Самые уязвимые места промышленных предприятий — слабая сегментация сетей, то есть отсутствие разделения между корпоративными и промышленными сетями, аутентификация домена, охватывающая ИТ и АСУ ТП, плохой мониторинг и видимость устройств АСУ ТП, неуправляемые устройства», — отметил главный аналитик ЭАЦ InfoWatch Сергей Слепцов.

Возможное снижение геополитической напряженности окажет незначительное влияние на тенденции, наметившиеся в последние три года. Поэтому главной задачей служб ИБ будет построение надежной и устойчивой системы защиты производственной инфраструктуры, прогнозируют эксперты.

В рамках исследования аналитики использовали собственные данные экспертно-аналитического центра ГК InfoWatch по инцидентам АСУ ТП в России и мире, а также информацию из открытого доступа более чем от: 160 вендоров ИБ ICS/OT (АСУ ТП), 32 аналитических и консалтинговых компаний, 43 промышленных ассоциаций, 65 информационных агентств в сфере информационных и операционных технологий.