Phishing realnym zagrożeniem dla systemów SCADA?

Pojawienie się malware’u Stuxnet pokazało, że przestępcy interesują się nie tylko popularnymi deskotopowymi OS-ami i że w stanie skutecznie zaatakować również systemy przemysłowe. Producenci takiego oprogramowania obawiają się, że w przyszłości pojawiać się będą kolejne „szkodniki” w stylu Stuxnet – ale zdaniem specjalistów ds. bezpieczeństwa, znacznie bardziej realnym zagrożeniem jest odpowiednio przeprowadzony atak phishingowy.

„Zamiast martwić się o jakieś egzotyczne, autonomiczne złośliwe programy, firmy korzystające z rozwiązań Supervisory Control and Data Acquisition (SCADA) powinny raczej upewnić, że mają wdrożone i odpowiednio funkcjonujące systemy wykrywania phishingu. Atak oparty na tym mechanizmie to najbardziej prawdopodobna metoda dostarczenia złośliwego oprogramowania do firmy korzystającej ze SCADA” – mówi Rohyt Belani, szef firmy PhishMe.

Belani powołał się m.in. na case study, przygotowane przez jego firmę we współpracy z jednym klientów – opisany w nim atak wymierzony był w pracownika, pracującego na wieczornej zmianie i mającego dostęp do SCADA. Autor ataku dokładnie przestudiował dostępne publicznie informacje o tej osobie i wysłał do niej spersonalizowanego e-maila, zawierającego (wedle opisu) ofertę ubezpieczenia zdrowotnego dla pracowników posiadających troje lub więcej dzieci. Jako, że pracownik pasował do opisu, dał się przekonać, że to autentyczna oferta i kliknął znajdujący się w e-mailu URL. To spowodowało otwarcie złośliwej strony i zainfekowanie firmowej sieci złośliwym oprogramowaniem. Uzyskanie nieautoryzowanego dostępu do panelu kontrolnego SCADA było już tylko formalnością…

Zobacz również:

Z analiz innej firmy - Critical Intelligence – wynika, że skuteczność takich ataków jest bardzo wysoka. Przy odpowiednim spersonalizowaniu złośliwego e-maila sięga ona 26% (co w przypadku ataków via e-mail jest bardzo dobrym wynikiem). 

„Dodatkowy problem polega na tym, że taki atak jest bardzo trudno wykryć. Owszem, jeśli będzie go próbował przeprowadzić jakiś amator korzystający z publicznie dostępnych exploitów, to firmowy IDS pewnie będzie w stanie go wykryć. Ale jeśli zaatakuje nas zawodowiec, wykorzystujący lukę typu zero-day, to przed czymś takim praktycznie nie można się skutecznie zabezpieczyć” – wyjaśnia Tyler Klinger z Critical Intelligence.

Jak w takim razie chronić się przed takimi atakami? Specjaliści zalecają przede wszystkim odpowiednie szkolenie pracowników – chodzi o to, by uświadomić im, jakie są typowe metody działania przestępców. Koniecznie jest również odseparowanie systemów SCADA od standardowej infrastruktury IT firmy – tak, by ktoś kto przejmie kontrolę nad komputerem pracownika, nie mógł wykorzysta go do zaatakowania systemów kontroli produkcji.