Honeywell GARD USB Threat Report 2024: Взгляд на растущие угрозы USB-устройств для промышленных систем

Документ “Honeywell GARD USB Threat Report 2024” представляет собой результат шестилетнего исследования угроз, связанных с использованием USB-устройств. В отчете подчеркивается рост частоты обнаружения USB-угроз, их сложность и потенциальный риск для промышленных систем. Документ был подготовлен командой Honeywell Global Analysis, Research and Defense (GARD), которая занимается кибербезопасностью в области операционных технологий (OT).

Основные участники и структура документа

Документ включает следующие разделы:

1. Исполнительное резюме
2. Годовые наблюдения за типами обнаруженного вредоносного ПО
3. Анализ вредоносного ПО на основе контента
4. Ключевые наблюдения
5. Основные эксплойты по CVE
6. Анализ техник атак
7. Что это значит
8. Многоступенчатое, разрушительное вредоносное ПО
9. Общая частота вредоносного ПО продолжает расти
10. Импликации безопасности для операторов
11. Значимые угрозы
12. Заключение
13. Методология
14. Глоссарий
15. О команде Honeywell GARD

Исполнительное резюме

Команда Honeywell GARD отслеживает и анализирует вредоносное ПО, распространяемое через USB-устройства, на протяжении шести лет. В этом году были сделаны несколько новых наблюдений относительно типов обнаруженного вредоносного ПО, их работы и уровня сложности атакующих. Например, было выявлено, что злоумышленники хорошо понимают промышленные среды и используют стратегии “living off the land” (LotL), наблюдаемые в недавних глобальных киберинцидентах.

Годовые наблюдения за типами обнаруженного вредоносного ПО

В отчете отмечается, что частота обнаружения USB-угроз выросла на 33% за последний год. Большинство заблокированного вредоносного ПО (82%) способно вызвать серьезные сбои в промышленных системах, включая потерю управления и отключение систем.

Анализ вредоносного ПО на основе контента

Примерно 20% всего проанализированного вредоносного ПО было классифицировано как основанное на контенте. Более 13% вредоносного ПО использовало возможности общих документов, таких как Word-документы и электронные таблицы, для распространения. Дополнительно 2% вредоносного ПО нацеливалось на известные уязвимости в общих форматах документов, а еще 5% — на приложения, используемые для их создания и редактирования.

Основные эксплойты по CVE

В отчете перечислены наиболее распространенные эксплойты, включая:

• CVE-2014-7247: Arbitrary code execution via a crafted file.
• CVE-2017-11882: Microsoft Office Memory Corruption Vulnerability.
• CVE-2010-2883: Adobe Acrobat and Reader Stack-Based Buffer Overflow Vulnerability.
• CVE-2018-0798: Microsoft Office Memory Corruption Vulnerability.
• CVE-2011-2462: Adobe Acrobat and Reader Universal 3D Memory Corruption Vulnerability.
• CVE-2016-1019: Adobe Flash Player Arbitrary Code Execution Vulnerability.
• CVE-2012-0158: Microsoft MSCOMCTL.OCX Remote Code Execution Vulnerability.

Анализ техник атак

Анализ данных показал, что USB-устройства являются установленным вектором атак на операционные технологии (OT). Основные техники атак включают:

• Обнаружение, сбор и эксфильтрация данных: 36% всех наблюдаемых техник.
• Уклонение от защиты и сохранение присутствия: 29% всех наблюдаемых техник.
• Доступ к учетным данным и повышение привилегий: 18% всех наблюдаемых техник.
• Использование скриптов, командной строки и динамического обмена данными с использованием OLE: 50% техник исполнения и 21% всех наблюдаемых техник.

Многоступенчатое, разрушительное вредоносное ПО

Анализ показал, что 82% обнаруженного вредоносного ПО может вызвать потерю управления или отключение систем. Это включает киберфизическое вредоносное ПО, предназначенное для манипуляции или разрушения управления, программы-вымогатели и вредоносное ПО, связанное с промышленными атаками.

Общая частота вредоносного ПО продолжает расти

Количество обнаруженного и заблокированного вредоносного ПО увеличилось на 33% по сравнению с предыдущим годом, что в свою очередь составило 700% годового роста.

Импликации безопасности для операторов

• Понимание целевых промышленных сред: Злоумышленники понимают, как работают промышленные системы, и используют это знание для атак.
• Стратегии LotL: Злоумышленники используют сложные техники уклонения от обнаружения и сохранения присутствия.
• Использование USB как начального вектора атак: Рекомендуется установить четкую политику безопасности USB и технические меры контроля.
• Быстрое появление новых угроз: Необходимо пересмотреть существующие меры контроля и политики кибербезопасности OT.
• Контроль сетевой активности: Ограничение ненужной сетевой активности и мониторинг несанкционированных сетевых коммуникаций.

Значимые угрозы

• Программы-вымогатели: DarkSide, REvil, Sodinokibi, WannaCry, Snake, TeslaCrypt и другие.
• Киберфизические угрозы: Stuxnet, Triton, Black Energy, Industroyer и Industroyer 2.
• Новые варианты Qbot: Включают функции бэкдора и используются в кампаниях программ-вымогателей.

Заключение

Документ подчеркивает важность активных мер кибербезопасности USB и более инклюзивного управления документами. Современные варианты вредоносного ПО адаптировались для использования стандартов USB и способны обходить сетевые защиты. Необходима постоянная бдительность и сильные меры безопасности USB для защиты промышленных систем.

Методология

Отчет основан на данных, собранных с помощью продукта Honeywell Secure Media Exchange (SMX), который анализирует вредоносное ПО на USB-устройствах, используемых в промышленных объектах по всему миру.

О команде Honeywell GARD

Команда Honeywell GARD занимается исследованием угроз и разработкой решений для кибербезопасности в области операционных технологий. С более чем 15-летним опытом в области кибербезопасности OT и более чем 50-летним опытом в промышленной сфере, Honeywell предоставляет инновационные программные решения и услуги для защиты промышленных активов и операций.

Заключение

Документ “Honeywell GARD USB Threat Report 2024” является важным источником информации о текущих угрозах, связанных с использованием USB-устройств в промышленных системах. Он подчеркивает необходимость усиления мер безопасности и постоянного мониторинга для защиты от растущих киберугроз.

Author: admin