Недавно стало известно, что хакеры все чаще предпочитают криптовалюты кредитным картам. В их арсенале достаточно много инструментов, которые позволяют им незаконно обогатиться. Одним из них является установка скрытого майнера. Их загрузка инициируется при посещении вредоносного сайта и происходит незаметно для пользователя. Однако если ранее для распространения ПО в основном использовались браузеры, а целевой аудиторией считался пользователь интернета, то в последнее время появился тенденция «захвата» более крупных структур.
Так, 8 февраля 2018 годафирма Radiflow, занимающаяся безопасностью критической инфраструктуры, заявила об обнаружении скрытого майнера в сети управления и мониторинга службы водоснабжения в Европе.
Этот инцидент стал первым в истории заражения майнером критической инфраструктуры, однако в будущем, вероятно, мы будем сталкиваться с этим все чаще. Radiflow оценивает степень влияния ПО на работу сети как «значительную». Майнер был спроектирован таким образом, чтобы работать в фоне, потребляя максимальное возможное количество вычислительных мощностей. Были также установлены ограничения, чтобы не перегрузить сеть и остаться незамеченным. Помимо этого в него были встроены инструменты для обнаружения проверки и даже ее отключения.
Консультант RedTeam Security рассказал, на что действительно необходимо обратить внимание:
Основная проблема заключается в том, что системы управления промышленной инфраструктурой зачастую требуют больших вычислительных мощностей. Майнер, задействуя их в личных целях, может привести к серьезным негативным последствиям.
Отмечается, что обнаружение скрытого ПО стало неожиданностью для Radiflow. Дело в том, что доступ к внутренней сети управления получить очень сложно. В случае с системой водоснабжения интернет использовался для удаленного мониторинга. Сканирование показало, что сервера обращаются к большому количеству несанкционированных IP-адресов — скрытый майнер был обнаружен.
Промышленные системы являются лакомым кусочком для хакеров из-за высокого объема незадействованных вычислительных мощностей и повышенного потребления электроэнергии. В таких условиях проблематично обнаружить вредоносное ПО. Если ранее злоумышленники пытались незаконно завладеть закрытой информацией и получить выкуп, то теперь их в большей степени интересует майнинг.
Достаточно обнаружить одно слабое место в системе безопасности. Проникнув в сеть, майнер начинает распространяться внутри нее очень быстрыми темпами. Подобное ПО как паразит: может существовать лишь в антагонистических отношениях с живым организмом-хозяином.
Из истории с заражением системы мониторинга службы водоснабжения промышленным компаниям необходимо сделать собственные выводы. Работоспособность критической инфраструктуры — принципиальный вопрос для огромного количества людей, именно поэтому провайдерам данных услуг необходимо учиться на чужих ошибках.
Не следует откладывать обновления системы и надеяться, что вашу компанию это не коснется — вероятность существует. Эти риски нужно минимизировать.
Читайте также статью про ПО для майнинга, которое атакует Android-девайсы.