Bakı. Trend:
Kaspersky ICS CERT-in yeni hesabatına görə, 2020-ci ilin ilk altı ayında hücuma məruz qalan kompüterlərin payı əvvəlki yarım ilə nisbətən bina avtomatlaşdırma sistemlərində 38% -dən 40% -ə, neft və qaz sənayesində texnoloji proseslərin avtomatlaşdırılmış idarə sistemində (TP AİS) isə 36,3% -dən 37,8% -ə yüksəlib. Ümumiyyətlə, mütəxəssislər hücuma məruz qalan TP AİS kompüterlərinin payında azalma istiqamətində qlobal bir tendensiya olduğunu bildirib. 2020-ci ilin birinci yarısında dünyada TP AİS kompüterlərinin* üçdə birində (32,6%) zərərli obyektlər bloklanıb. Əvvəlki altı ayla müqayisədə bu göstərici 6 faiz azalıb.
Neft və qaz sənayesində TP AİS kompüterlərinə edilən hücumların artması, xüsusilə Python və PowerShell skript dillərində yazılmış bir çox yeni qurd proqramının ortaya çıxması ilə əlaqəli ola bilər. Bu zərərli proqramlar, Mimikatz utilitinin müxtəlif versiyalarından istifadə edərək sistem proseslərinin yaddaşından loqin və şifrələri toplaya bilir. 2020-ci il mart ayının sonundan iyun ayının ortalarına qədər mütəxəssislər, əsasən Çin və Orta Şərqdə çox sayda belə qurd proqramlar tapıblar.
Bina avtomatlaşdırma sistemləri tez-tez korporativ şəbəkəyə və İnternetə qoşulur ki, bu da hücum səthini TP AİS sistemlərindəkindən daha böyük edir. Bundan əlavə, əksər hallarda cihazlar podratçı şirkətlərə aid olur və buna görə də onların təhlükəsizliyi sifarişçi şirkətin informasiya təhlükəsizliyi şöbələrinin işçiləri tərəfindən daha pis idarə olunur və bu da təcavüzkarların müdaxiləsini yenidən asanlaşdırır.
Bu infrastrukturlarda hücuma məruz qalan kompüterlərin faiz nisbətindəki artım, həm TP AİS-də, həm də İT seqmentində hədəfə alınan kompüterlərin sayının azalması istiqamətindəki qlobal tendensiya fonunda bir istisna idi. Bunun əsas səbəblərindən biri irimiqyaslı hücumların sayının azalması və onların daha hədəfli hücumlarla əvəzlənməsi idi. Nəticədə təhdidlər fokuslanmış, yəni daha müxtəlif və mürəkkəb olur. .NET platformasında daha çox “arxa qapı” (normal təhlükəsizlik tədbirlərindən yayınmağa imkan verən hər hansı bir metod), Trojan casus proqramı, Win32 üçün eksploytlar və zərərli proqram ailələri üzə çıxıb.
Bundan əlavə, 2020-ci ilin ilk yarısında, pul tələb edən bloklama proqramları (ransomware) TP AİS kompüterlərinə hücum etməyə davam edib. Təəssüf ki, dünyadakı tibb təşkilatlarına və sənaye şirkətlərinə edilən bir sıra hücumlarla bağlı hadisələr də gündəmi zəbt edib.
Pandemiya, yarım illik statistikaya nəzərəçarpacaq dərəcədə təsir göstərməyib - bir məqam istisna olmaqla. Bu dövrdə, müəssisələrin bir çox istehsal tapşırığını məsafədən yerinə yetirməsi zərurətə çevrildi. Nəticədə RDP vasitəsi ilə uzaqdan idarə edilən TP AİS kompüterlərinin sayı artdı. Mütəxəssislər qeyd edirlər ki, yanvar-may aylarında RDP üçün şifrəni ələ keçirmək cəhdlərinin qeydə alındığı TP AİS kompüterlərinin nisbəti də iki dəfə artıb. Pandemiyanın gözlənilən başqa bir nəticəsi, COVID-19 mövzusunun təcavüzkarlar tərəfindən sosial mühəndislik sahəsindəki istismarı idi. Mütəxəssislərin müşahidələrinə görə, metod o qədər çox yönlü və təsirli oldu ki, onu hətta sənaye şirkətlərinə də hücum edən tanınmış APT qrupları istifadə edir. Xüsusilə aprel ayında oxşar hücumlar Azərbaycanın dövlət sektoruna, nəqliyyat və sənaye şirkətlərinə, əsasən enerji şirkətlərinə qarşı həyata keçirilib. Təcavüzkarlar külək turbinləri ilə əlaqəli SCADA sistemlərinə xüsusi maraq göstəriblər. Azərbaycan hökumətinin elektron poçtunu təqlid edən və hesab məlumatlarını oğurlamaq üçün hazırlanmış bir fişinq saytı da aşkar edilib.
“Əksər sənaye sahələrində TP AİS kompüterlərinə edilən hücumların sayı azalıb, lakin hələ də kifayət qədər təhdid var. Hücumlar nə qədər mürəkkəbdirsə, hətta daha baş versə belə, ciddi ziyan vurma ehtimalı da bir o qədər yüksəkdir. Uzaqdan iş rejiminə məcburi keçidlə əlaqədar olaraq, hücum səthi daha da böyüyüb. Sənaye müəssisələri üçün bəzi işçilərin iş yerində olmaması səbəbindən, məsələn, hücuma məruz qalan sistemi əllə idarəetməyə köçürərək hadisəyə tez bir zamanda cavab vermək çətinləşib. Bu, hücumun nəticələrinin daha dağıdıcı ola biləcəyi deməkdir. Bir halda ki, bina avtomatlaşdırma sistemləri və neft-qaz şirkətləri əvvəllər olduğundan daha çox kiber təhdidlərlə qarşılaşırlar, bu cür sistemlərin sahiblərinə və operatorlarına əlavə təhlükəsizlik tədbirləri görmələrini tövsiyə edirik,” deyə Kaspersky ICS CERT-in baş tədqiqatçısı Kirill Kruqlov bildirib.
Kaspersky Threat Intelligence portalında Kaspersky ICS Threat Intelligence Reporting haqqında daha çox öyrənə və demo versiya üçün müraciət edə bilərsiniz.
"2020-ci ilin birinci yarısında sənaye avtomatlaşdırma sistemləri üçün təhlükə mənzərəsi" hesabatının tam versiyası bu linkdə mövcuddur: https://ics-cert.kaspersky.ru/reports/2020/09/15/threat-landscape-for-industrial-automation-systems-h1-2020/.
AİS kompyuterlərini kiber təhdidlərdən qorumaq üçün, Kaspersky tövsiyə edir:
korporativ istifadə zəncirinin son cihazları üçün biznes üçün Kaspersky Endpoint Security kimi, təhlükəsizlik siyasətlərini mərkəzdən idarə etmək və antivirus məlumatlarını və proqram modullarını aktual səviyyədə saxlamaq imkanlarına malik qoruyucu bir həll quraşdırın;
bütün kritik sənaye sistemlərinə hərtərəfli qoruma təmin etmək üçün OT son cihazları və şəbəkələrində Kaspersky Industrial CyberSecurity kimi qoruyucu həlldən istifadə edin;
domen administratoru hüquqları olan hesablardan yalnız lazım olduqda istifadə edin və eyniləşdirmə aparıldığı təqdirdə sistemi yenidən başladın;
mürəkkəblik səviyyəsi və müntəzəm dəyişmə üçün yüksək tələblərə malik parol siyasəti həyata keçirin;
sistemin yoluxduğundan şübhələnirsinizsə, antivirus yoxlaması aparın və təhlükə altına girən sistemlərə daxil olmaq üçün istifadə olunan bütün hesabların parollarını icbari qaydada dəyişdirin.
*İdarəetmə və məlumat toplama serverləri (SCADA), məlumat saxlama serverləri, məlumat keçidləri, mühəndis və operatorların stasionar iş stansiyaları, mühəndis və operatorların mobil iş stansiyaları, texnoloji şəbəkələri idarə etmək üçün istifadə olunan kompüterlər və sənaye avtomatlaşdırma sistemlərinə proqram hazırlamaq üçün istifadə olunan kompüterlər