В последние годы криптовалюты завоевали значительную популярность, а их возросшая стоимость стимулировала недобросовестных злоумышленников искать новые способы получения виртуальных монет. Одним из наиболее распространённых методов стала несанкционированная установка программ для майнинга на чужие вычислительные ресурсы — явление, известное под названием «криптоджекинг». Оно представляет собой использование чужих компьютеров или сетей без ведома владельцев для добычи криптовалюты. До недавнего времени такими мишенями обычно становились личные компьютеры, серверы в облаке, а также крупные цифровые площадки. Тем не менее впервые подобная угроза была зафиксирована в критической инфраструктуре: атаке подверглась сеть водоканала в Европе.
Компания Radiflow, специализирующаяся на кибербезопасности в области промышленной автоматизации, обнаружила вредоносное ПО, майнящее криптовалюту Monero, в сетевой инфраструктуре водообеспечивающей организации. Как отметили специалисты, данный инцидент стал первой публично известной ситуацией, когда криптомайнинговое вредоносное ПО проникло в промышленные системы управления — SCADA и ICS, обеспечивающие работу критически важных объектов. Удар по промышленным контроллерам представляет собой новый вызов для сферы безопасности, так как подобные системы зачастую работают на устаревших операционных системах — в данном случае заражение произошло через компьютер с Windows XP. Эти платформы из-за длительной эксплуатации нередко не обновляются вовремя, что делает их уязвимыми к современным типам атак. Злоумышленники смогли проникнуть в сеть благодаря посещению одного из сотрудников заражённого предприятия ненадёжного рекламного сайта, откуда на HMI (человеко-машинный интерфейс) был скачан вредоносный майнер.
Вредоносное ПО занималось добычей криптовалюты, замедляя производственные процессы и потребляя ценные вычислительные ресурсы устройства. Несмотря на то что прямого кражи или разрушительного вмешательства не зафиксировано, такие атаки опасны своим влиянием на работоспособность системы и потенциальной возможностью дальнейшего распространения в корпоративной сети. Выявить угрозу удалось благодаря специализированному промышленному решателю для обнаружения вторжений iSID, который анализирует сетевой трафик и поведение узлов промышленной сети, оперативно выявляя подозрительную активность. Эксперты подчёркивают, что несмотря на кажущуюся незначительность воздействия, подобные инциденты могут привести к серьёзным сбоям в работе важных инфраструктурных объектов. Промышленные системы часто работают в режиме круглосуточного мониторинга и управления, а любые задержки или сбои способны повлиять на качество и стабильность предоставляемых услуг.
Поэтому своевременное обнаружение и нейтрализация киберугроз, будь то вредоносное ПО либо более сложные атаки, являются приоритетами для компаний, отвечающих за эксплуатацию таких систем. Кроме технических последствий, данный инцидент вызывает вопросы и относительно подготовки персонала к работе с IT-безопасностью. Очень часто заражения происходят из-за неосмотрительных действий сотрудников, которые могут открыть сомнительные ссылки или файлы в электронной почте, что и послужило причиной малого, но опасного заражения. Важным направлением для индустрии становится повышение уровня осведомленности работников и внедрение культурных норм по безопасности в промышленных предприятиях. Стоит отметить, что неконтролируемый майнинг криптовалюты на машинах критической инфраструктуры может привести к повышенному энергопотреблению, перегреву оборудования и, в конечном итоге, к его преждевременному износу или повреждению.
В условиях промышленных систем, где оборудование часто дорогостоящее и труднодоступное для ремонта, такие факторы способны значительно увеличить эксплуатационные расходы и риск простоев. В свою очередь, для злоумышленников подобные атаки выгодны тем, что добыча криптовалюты позволяет им извлекать постоянный доход без необходимости значительных инвестиций в собственное оборудование. При этом анонимность некоторых криптовалют, например Monero, усложняет процесс отслеживания и привлечения к ответственности преступников. На сегодняшний день расследование атаки в водоканале продолжается, и специалисты пытаются оценить полный масштаб проникновения и выявить возможные механизмы распространения вредоносного ПО по сети предприятия. Пока неясно, было ли заражение целенаправленным и спланированным, или результатом случайного инцидента.
Тем не менее, очевидно, что сфера промышленной автоматизации становится новым полем битвы для киберпреступников. В ответ на новые вызовы технологические фирмы развивают и совершенствуют средства мониторинга и анализа безопасности для ICS и SCADA-сетей. По словам руководителей Radiflow, компания активно работает над развитием аналитических инструментов, способных выявлять подобные угрозы на ранних стадиях. Внедрение комплексных систем защиты, включающих как программные, так и организационные меры, становится залогом устойчивой работы критически важных инфраструктур. Промышленные предприятия должны уделять повышенное внимание вопросам регулярного обновления программного обеспечения, мониторинга сетевой активности и обучения персонала основам кибербезопасности.
