ОГЛЯД АТАК НА КРИТИЧНУ ІНФРАСТРУКТУРУ В УКРАЇНІ, ТА РЕКОМЕНДАЦІЇ ЩОДО ЗАХОДІВ

КОНТРОЛЮ Версія: 2016-02-11

Про ISACA®

Об’єднуючи більше 115 000 членів у 180 країнах світу, ISACA (www.isaca.org) допомагає лідерам у сфері управління, інформаційної безпеки та інформаційних технологій забезпечувати корисність і довіру до інформації та інформаційних систем. Із часу заснування асоціації у 1969 році ISACA є надійним джерелом знань, стандартів, співробітництва та підвищення кваліфікації для фахівців у галузі аудиту, підтвердження достовірності, безпеки, управління ризиками, забезпечення конфіденційності та управління інформаційними системами. ISACA пропонує фахівцям із кібербезпеки широкий набір ресурсів Cybersecurity Nexus™ і настанови COBIT®1, що допомагають організаціям в управлінні та контролі за інформацією та технологіями. Асоціація також розвиває та підтверджує найбільш важливі для бізнесу навички та знання, поширюючи сертифікації,що визнаються у міжнародному масштабі: CISA®2, CISM®3, CGEIT®4іCRISC™5. ISACA має понад 200 відділень по всьому світу.

Про ГО «Ісака Київ»

ГО «Ісака Київ» є київським відділенням ISACA, і ставить за мету розповсюдження знань та кращих світових практик в Україні, а також створення майданчика для незаангажованого спілкування професіоналів. Відділення в Україні наразі об’єднує біля 100 ІТ професіоналів. Управління асоціацією провадиться не заангажовано по відношенню до будь-яких комерційних інтересів. Місією Київського відділення ISACA є просування та запровадження зрілих процесів ІТ-управління в Україні заради забезпечення довіри користувачів та організацій до надійності інформаційних систем та їхньої цінності. Напрацювання та експертиза мережі більш ніж 200 відділень ISACA у всьому світі дозволить залучити досвід країн із набагато більш розвиненою культурою ІТ управління та кібербезпеки. Київське відділення ISACA ставить за мету забезпечити розвиток української професійної ІТ спільноти та забезпечити можливість незаангажованого спілкування між фахівцями як ІТ так і бізнесового середовища.

Обмеження відповідальності

Публікація підготовлена Глібом Пахаренко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій.

1COBIT® (Control Objectives for Information and Related Technologies) –Цілі контролю для інформаційних і суміжних технологій.2CISA® (CertifiedInformationSystemsAuditor) – сертифікований аудитор інформаційних систем.3CISM® (CertifiedInformationSecurityManager) – сертифікований менеджер з інформаційної безпеки.4CGEIT® (Certified in the Governance of Enterprise IT) – сертифікований фахівець з управління корпоративними ІТ.5CRISC™ (CertifiedinRiskandInformationSystemsControl) – сертифікований фахівець у галузі ризиків і контролю інформаційних систем.

2

Збереження прав інтелектуальної власності.

Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ» .

Учасники створення публікації.

В табличці нижче перелічені учасники створення публікації та їх внесок.

Учасник РольГліб Пахаренко, CISA, CISSP АвторОлексій Янковський РецензентАнастасія Конопльова, CISA Рецензент

3

ЗмістПЕРЕДМОВА......................................................................................................................................4ТЕРМІНИ ТА СКОРОЧЕННЯ..........................................................................................................6ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК...........................................................................................7ОГЛЯД АТАК.......................................................................................................................................9

Використання соціальної інженерії..........................................................................................9Недостатні дії з усунення та профілактики інцидентів........................................................9Використання невідомих вразливостей (нульвого-дня).....................................................9Обізнаність про внутрішню інфраструктуру ІТ....................................................................10Обхід механізмів захисту операційної системи..................................................................10Модульна структура..................................................................................................................10

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ...........................................11РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ.......................................................................................................................................16ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ................................................................................................18

ПЕРЕДМОВА

Починаючи з 2014р. українські організації захлинула хвиля спрямованих кібернетичних атак, найбільшим документованим збитком від яких є кількагодинне вимикання електричного живлення в західному регіоні України (абонентів Прикарпаттяобленерго). Окрім енергетичного сектору, цілями зловмисників були підприємства транспортної, фінансової, телекомунікаційної, медіа галузей та державних органів. Характерними ознаками цих недружніх дій в кіберпросторі є поетапне захоплення та вивчення ІТ інфраструктури і методів захисту постраждалих організацій та непередбачувані у часі дії по зупиненню бізнес-діяльності установи, аж до катастрофічних наслідків. Цим ці атаки відрізняються від звичайних дій кібернетичних зловмисників, направлених на крадіжку конфіденційних даних чи їх модифікацію з метою отримання фінансових зисків. За оцінкою аналітиків антивірусних компаній (ESET, McAfee, TrendMicro, F-Secure, і т.д.) за частиною атак стоїть керівництво Російської Федерації, що відпрацювало кібератаки у військових та політичних конфліктах з Грузією та Естонією у 2007-2008рр., і тепер активно використовує їх у конфлікті з Україною. Один із видів шкідливого програмного забезпечення, що використовувалося, носить загальну назву BlackEnergy (“ЧорнаЕнергія” - укр., ВЕ - скорочено). За період свого існування цей вірус постійно змінювався та покращувався з точки зору його зловмисних можливостей, і наразі виявлена вже 3-тя генерація BlackEnergy.

Ця публікація узагальнює відомі дані з відкритих джерел та пропонує план дій для зниження ризиків від кібернетичних атак на критичну інфраструктуру насамперед від ВЕ. Вона буде корисна особам всіх рівнів повноважень, відповідальним за безпеку підприємства, починаючи від його керівництва і закінчуючи адміністраторами автоматизованих систем керування технічними процесами. Регулятори можуть взяти цю публікацію за основу своїх рекомендацій та галузевих стандартів.

4

ТЕРМІНИ ТА СКОРОЧЕННЯ

В таблиці нижче наведено перелік термінів та скорочень, що використовуються в документі.

Black Energy, BE BlackEnergy

APT Спрямовані Постійні Загрози

ШПЗ Шкідливе Програмне Забезпечення

ІР Інтернет адреса

5

ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАКВ таблиці нижче наводиться історія інцидентів з переліком їх впливу на організацію та технічними особливостями. Інформація зібрана з відкритих джерел, її достовірність залежить від надійності джерела та не перевірялась. Рекомендації в наступних секціях документу підготовлені виходячи з аналізу цих атак.

№ Установа Період часу

Наслідки для організацій

1 МЗС України 2012 Інформація відсутня.

2 Посольство України в США 2012 Інформація відсутня.

3 Укрзалізниця 2014 Інформація відсутня.

4 Головний Інформаційно Комунікаційний та Науково Виробничий Центр Дніпропетровської ОДА.

2014 Можливо саме з цією атакою пов’язаний витік інформації з Дніпропетровської ОДА, що опублікувало угруповання “Кібер Беркут”.

5 Тернопільська облдержадміністрація 2014 Інформація відсутня.

6 Закарпатська облдержадміністрація 2014 Інформація відсутня.

7 Дніпропетровська облдержадміністрація 2014 Інформація відсутня.

8 Миколаївська облдержадміністрація 2014 Інформація відсутня.

9 Державний архів Чернівецької області 2014 Інформація відсутня.

10 Центральний державний кінофотоархів України імені Г. С. Пшеничного

2014 Інформація відсутня.

11 ТРК “Україна” Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів.

12 СТБ 2015 Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів.

13 Бердянська міська рада 2015 Інформація відсутня.

14 Міжнародні авіалінії України 2015 Інформація відсутня.

6

15 Хмельницькобленерго 2015 Інформація відсутня.

16 Укренерго 2015 Інформація відсутня.

17 Прикарпаттяобленерго 2015 Вимкнення живлення в абонентів Прикарпаттяобленерго

18 Чернівціобленерго 2015 Інформація відсутня.

19 Київобленерго 2015 Інформація відсутня.

7

ОГЛЯД АТАКХоча кожна з атак і має особливості, можна виділити наступні загальні спільні риси:

Використання соціальної інженеріїМайже у всіх випадках хакери застосовували соціальну інженерію з метою ввести користувача в оману та змусити виконати дії з вимикання системи захисту.

Приклад1. Обхід налаштувань безпеки офісного пакету.

Зазвичай, в офісному пакеті Майкрософт вимкнена можливість запуску вбудованого в документи активного змісту. Нападники мотивували користувача ввімкнути виконання вбудованих в файл макросів, що дозволяло успішне проникнення в мережу.

Приклад2. Крадіжка паролів системного адміністратора.

Окремі модулі ШПЗ при запуску перевіряли, чи достатньо в них привілеїв, і якщо їх не вистачало, то виводили частково з ладу комп’ютер, щоб змусити користувача покликати адміністратора та запустити програму з підвищеними правами.

Недостатні дії з усунення та профілактики інцидентівМасштаб зараження та наслідки атак можна було зменшити, у разі якщо б діяли важливі елементи кібербезпеки:

ізоляція технологічних та продуктивних мереж. На окремих об’єктах це дозволило би не переривати критичні послуги, навіть після знищення частини інфраструктури.

детальний аналіз систем після інцидентів. Окремі установи постраждали від перших атак, але не провели детального розслідування. Частково цифрові докази були знищені через неправильні дії служби інформаційних технологій установи після інциденту.

виявлення систем, які мають індикатори зараження. Шкідливе програмне забезпечення (ШПЗ) керувалось в окремих організаціях з відомих контрольних центрів. Адміністратори не помічали перехід систем в тестовий режим, після завантаження високопривільованих компонент ВЕ.

Використання невідомих вразливостей (нульового дня)В деяких атаках зловмисники використовували ще невідомі атаки (нульового дня). Це поєднувалось з елементами соціальної інженерії, що змушували користувача відкрити

8

файл (довірена адреса відправника, актуальна тема повідомлення).

Обізнаність про внутрішню інфраструктуру ІТЗловмисники демонстрували детальне знання внутрішньої ІТ інфраструктури організації, щоб адаптувати та максимально ефективно використовувати ШПЗ. Це включало налаштування проксі-серверів, назви доменів, і т.д.

Обхід механізмів захисту операційної системиДля підвищення привілеїв, прихованого виконання та закріплення в системі модулі ШПЗ використовували:

механізм сумісності Microsoft Windows (Windows Application Compatibility Infrastructure, Shims Infrastructure), щоб обійти механізм контролю доступу користувача. Якби адміністратори систем своєчасно виявляли нестандартні налаштування сумісності, то це б дозволили виявити атаку.

переведення систем у тестовий режим, що дозволяло завантаження непідписаних компонент ядра системи. Якби адміністратори систем своєчасно виявляли раптову появу такого режиму в системі, це дозволило б виявити атаку.

використання вразливої версії програми віртуалізації VirtualBox для завантаження непідписаних драйверів.

Модульна структураШПЗ використовувало багато різних компонент, головні з яких:

вивід з ладу комп’ютера та псування інформації

крадіжка інформації

клавіатурний шпигун

крадій паролів

світлини екрану

сканування та атаки на інші хости в мережі

віддалений доступ до робочого столу

9

РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙПротидія загрозі вимагає від установ комплексного підходу, що включає технічні та адміністративні заходи. Треба розуміти, що вони не дадуть стопроцентної гарантії, адже злочинці можуть адаптуватись та весь час покращувати можливості свого арсеналу. З іншого боку активна протидія у різний спосіб значно підвищує вартість атаки, та може змусити хакерів відмовитись від подальших дій. В таблиці нижче наведено перелік контролів, які потрібно запровадити на підприємства для профілактики BlackEnergy. Також ми рекомендуємо ознайомитись з першочерговими кроками по зниженню ризиків кібератак:

https://www.facebook.com/Kyiv.ISACA/posts/1031036870240438

№ Тип контролів Заходи контролю Додаткові матеріали1 Організаційні Призначити в установі посадову особу,

відповідальну за кібернетичну безпеку.Трансформація кібер-безпеки

http://www.isaca.org/Knowledge-Center/ Research/ResearchDeliverables/Pages/Transforming-Cybersecurity-Using-COBIT-5.aspx

2 Проводити моніторинг ресурсів, присвячених кібернетичним атакам BlackEnergy, та іншим атакам в Україні і в світі.

Ресурси з безпеки: https://ics.sans.org/blog https://blogs.mcafee.com/category/mcafee-

labs/ http://www.welivesecurity.com/

expert_opinion/more-technical/ http://www.cert.gov.ua https://ics-cert.us-cert.gov/ http://ics-isac.org

3 Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії. Пояснити небезпеку макросів, вбудованих в текстові редактори.

Про макро-віруси:◦ https://www.microsoft.com/security/

portal/threat/macromalware.aspx Соціальна інженерія:

◦ http://zillya.ua/sotsialna-inzheneriya-abo- manipulyatsi-svidomistyu

4 Впровадити повноцінну програму керування ризиком постійних атак спрямованих загроз .

Керування ризиком АРТhttp://www.isaca.org/knowledge-center/research/

researchdeliverables/pages/advanced-persistent-threats-how-to-manage-the-risk-to-your-business.aspx

5 Забезпечити наявність процедур сповіщення уповноважених державних регуляторів, правоохоронних та антитерористичних органів, команд CERT, та інших організацій вашої галузі про атакиНалагодити обмін інформацією про атаки та загрози в своїй галузі.

N/A

6

Мережева безпека

Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем. Відстежувати неавторизовану появу нових сервісів та відкритих портів.

Інструмент для виявлення змін: https://digital-forensics.sans.org/blog/

2010/06/24/ndiff-incident-detectionРішення багатьох виробників.

Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем.

7 Ізолювати технологічні мережі від звичайних мереж, налаштувати між ними суворі правила мережевої фільтрації, побудувати профілі типового трафіку між системами та відслідковувати аномальний трафік. Запровадити окрему мережу управління для адміністрування, доступ до цієї мережі суворо обмежити.

Діоди даних◦ https://www.sans.org/reading-room/

whitepapers/firewalls/tactical-data-diodes-industrial-automation-control-systems-36057

Ешелонований захист◦ https://ics-cert.us-cert.gov/sites/default/

files/recommended_practices/Defense_in_Depth_Oct09.pdf

8 Використовувати IPSEC між системами в мережі. N/A

9 Керування вразливостями

Проводити тести на проникнення методами соціальної інженерії.

Про тест на проникнення методами соціальної інженерії:https://www.social-engineer.com/social-engineer-pentesting/

10 Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення.

Стандарти з безпеки: https://www.owasp.org/images/5/50/

ASVS_3_0_Ukrainian_Beta.pdf https://www.owasp.org/images/e/e3/

OWASP_Top_10_-_2013_Final_Ukrainian.pdf

Рішення багатьох виробників.

11 Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ.

Керування оновленнями промислових систем:◦ https://ics-cert.us-cert.gov/sites/default/

files/recommended_practices/RP_Patch_Management_S508C.pdf

Керування оновленнями:◦ https://www.sans.org/reading-room/

whitepapers/iso17799/patch-management-2064

12 Реагування на атаки

Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них.

Впровадження “медових пасток”: https://www.sans.org/reading-room/

whitepapers/detection/designing-implementing-honeypot-scada-network-35252

13 Відстежувати зовнішні з’єднання зі ІР ТОР, відомими VPN, та іншими ІР з поганою репутацією. Забороняти ці з’єднання.

Рішення багатьох виробників з репутаційної базою ІР адрес.

14 Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку.

Відповідь направленим атакам http://www.isaca.org/Knowledge-Center/

Research/ResearchDeliverables/Pages/Responding-to-Targeted-Cyberattacks.aspx

15 Відстежувати використання служби psexec, та появу інших недокументованих служб, їх перехід із статусу “demand start” в автостарт.

N/A

16 Відстежувати випадки переповнення диску та N/A

намагання встановити неавторизоване ПЗ, бо це були елементи атак ВЕ.

17 Проводити сканування систем та мережевого трафіку на відомі індикатори компрометації та аномалії.

Сканери та сигнатури компрометації https://www.bsk-consulting.de/loki-free-ioc-

scanner/ https://plusvic.github.io/yara/ https://github.com/Neo23x0/Loki/blob/

master/signatures/apt_blackenergy.yar https://www.snort.org/advisories/vrt-rules-

2014-10-21

18 Ввести облік DNS запитів в мережі. Пропускайте всі запити через корпоративний сервер імен (“split DNS”).

N/A

19 Створити захищені від змін сервери збору журналів подій. Налаштувати журнали систем в мережі на чутливий рівень.

Керування журналами:◦ https://www.sans.org/reading-room/

whitepapers/auditing/successful-siem-log-management-strategies-audit-compliance-33528

Керування журналами (2):◦ http://www.isaca.org/Journal/archives/

2012/Volume-1/Documents/jolv1-12-Log-management.pdf

20 Укріплення систем Ввести «білі списки» для дозволених додатків в ІТ системах.

N/A

21 Усунути Microsoft Windows системи, що працюють тестовому режимі, які вразливі до завантаження непідписаних драйверів.

N/A

22 Обмежити повний доступ адміністраторів до систем на постійній основі, надавати його лише на час авторизованих робіт.

N/A

23 Використовувати механізми заборони змін для Рішення деяких виробників.

критичних систем (“заморожування”).

24 Блокувати підозрілі вкладення в повідомленнях електронної пошти.

Рішення багатьох виробників.

25 Впровадити ієрархію адміністративних ролей. Зменшити використання адміністративних прав, особливо на машинах користувачів. Створити як мінімум два облікових запису для адміністраторів — один для користувацької активності, інший для адміністративної. Зменшити кількість адміністраторів з правами відлагодження (DebugPrivilegeSE).

Аудит ролей та облікових записів: http://www.isaca.org/knowledge-center/

research/researchdeliverables/pages/identity-management-audit-assurance-program.aspx

26 Захистити паролі. Використовувати багатофакторну аутентифікацію, складні паролі, перезавантаження системи після використання адміністративних паролів, щоб не зберігати їх в пам’яті системи. Не використовувати той самий пароль на декількох системах (як то для службового користувача в локальній групі адміністраторів в інсталяційному образі системи). Використовувати складні алгоритми для збереження паролів (забороніть LM Hash).

Керування паролями: http://csrc.nist.gov/publications/drafts/800-

118/draft-sp800-118.pdf

27 Забезпечити ешелонований антивірусний захист за допомоою лійензійного антивірусного ПЗ та постійним оновленням сігнатур

N/A

28 Запровадити плани відновлення систем у разі збоїв.

Програма аудиту неперервної діяльності:https://www.isaca.org/ecommerce/Pages/Login.aspx?ReturnUrl=%2fKnowledge-Center%2fResearch%2fDocuments%2fAudit-Programs%2fBusiness-Continuity-Management-Audit-Assurance-Program_icq_Eng_0911.doc

РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ

В таблиці нижче наведено перелік заходів, які небхідно запровадити на національному рівні для протидій кіберзагрозам. Ці заходи в першу чергу призначені для відповідальних за кібербезпеку на підприємствах критичної інфраструктури.

№ Захід на національному рівні Додаткові матеріали1 Проводити регулярні семінари обговорення з метою

збільшення рівня освіченості та обміну досвідом.N/A

2 Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки.

N/A

3 Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації .

Платформа для обміну інформацією про віруси: https://github.com/MISP

Платформа для обміну інформації про загрози та атаки https://soltra.com/

4 Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту.

N/A

5 Запровадити галузеві стандарти з кібернетичної безпеки.

http://energy.gov/sites/prod/files/Summary%20of%20CS %20Standards%20Activities%20in%20the%20Energy%20Sector.pdf

http://www-pub.iaea.org/MTCD/Publications/PDF/ Pub1527_web.pdf

http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx http://www.nist.gov/cyberframework/ https://www.isa.org/isa99/ http://isacahouston.org/documents/RedTigerSecurity-

NERCCIPandotherframeworks.pdf https://www.enisa.europa.eu/activities/Resilience-and-

CIIP/critical-infrastructure-and-services/scada-industrial-control-systems/annex-iii

6 Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження.

N/A

7 Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю

ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ.Перелік посилань нижче містить більш детальні огляди атак ВЕ в Україні.

1. http://cert.gov.ua/?p=2370

2. https://cys-centrum.com/ru/news/black_energy_2_3

3. https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf

4. http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015- attacks-ukrainian-news-media-electric-industry/

5. https://blogs.mcafee.com/mcafee-labs/updated-blackenergy-trojan-grows-more- powerful/

6. https://socprime.com/en/blog/results-of-initial-investigation-and-malware-reverse- analysis-of-fire-sale-ukraine/

7. http://www. isi ghtpartners.com/2014/10/cve-2014-4114/

17