По оперативным данным, 15–16 мая планируются крупномасштабные хакерские атаки на промышленные объекты (АСУ ТП), банковские и телеком-системы, интернет вещей, системы корпоративного сектора. Нападающие представляют известные APT CTF-команды и ранее были замечены в высокотехнологичных кибер-операциях.

Прошли времена, когда хакеров интересовали в основном веб-приложения. Сейчас под угрозой находятся промышленные, энергетические и телеком-системы, интернет вещей. Монетизация атак на эти объекты сегодня на гораздо более высоком уровне, довольно часто они становятся целями атак т.н. state sponsored хакеров. И именно эти критичные объекты заложены организаторами конкурса «Противостояние» в инфраструктуру виртуального города.

Конфликт атакующих и защитников выходит на новый уровень. Битва развернется в городе, вся экономика которого основана на цифровых технологиях. Городская инфраструктура включает в себя ТЭЦ и подстанцию, железную дорогу, «умные» дома с рекуперацией энергии, банки с банкоматами и киосками самообслуживания. Ну и конечно, в городе работают сотовая связь, интернет, различные онлайн-сервисы.

Пока нападающие расчехляют nmap'ы и смазывают модули Metasploit'a, команды защитников города возводят защитные сооружения и системы сигнализации. В этой статье я расскажу о подготовке защиты нефтяной компании и антифрод-системы, находящихся под защитой специалистов Центра информационной безопасности «Инфосистемы Джет».

Нефтяная компания

Нефтяные компании все чаще становятся жертвами как таргетированных, так и массовых кибер-атак. За прошедший год было зафиксировано сразу несколько таких резонансных случаев.

Во вторник 27 июня 2017 года мощной хакерской атаке подверглась «Роснефть». Об этом представители компании заявили в Twitter. Как стало известно, все компьютеры в НПЗ «Башнефть», «Башнефть-добыча» и в управлении «Башнефти» одновременно перезагрузились, после чего начали скачивать неустановленное программное обеспечение. На экранах появилась заставка вируса WannaCry с требованием перевести биткоины на сумму в 300 долларов, адресом кошелька и обещанием выслать ключ после получения заявленной суммы.

Один из ведущих морских грузоперевозчиков датская компания A.P. Moller-Maersk подверглась кибератаке, которая вывела из строя ее компьютерные системы.

«Мы можем подтвердить, что IT-системы Maersk вышли из строя в результате кибератаки на многие подразделения компании», — говорится в заявлении грузоперевозчика в Twitter.

Датская судоходная и логистическая компания A.P. Moller-Maersk оценивает потери в результате атаки вируса-вымогателя Petya в $200-300 млн, говорится в опубликованном в среду финансовом отчете компании за II квартал 2017 года.

Построение эффективный защиты нефтяного комплекса — одна из задач киберзащитников. Главная цель — не допустить создания аварийных ситуаций.

Ситуации высокой критичности:

• авария на танкере и в порту при подаче топлива (возгорание и разлив топлива);
• переполнение резервуаров (возможно возгорание);
• изменение температур или переполнение нефтепродуктами ректификационных колонн.

Ситуации средней критичности:

• отключение передачи топлива;
• отключение электричества на стенде;
• авария на системе разлива топлива;
• остановка производства;
• отключение пара с ТЭЦ.

Ситуации низкой критичности:

• кран или краны повредят танкер;
• воздействие на процесс, без последствий.

Глобальные задачи, которые стоят перед защитниками комплекса — не допустить воздействий на системы управления, которые могут привести к следующим последствиям:

• получение полного или частичного контроля над ОС;
• получение полного или частичного контроля над SCADA-системой;
• создание критической аварийной ситуации на объектах автоматизации;
• получение доступа к управлению объектом автоматизации с использованием промышленных протоколов;
• получение нелегитимного доступа к ОС или SCADA (обход аутентификации);
• полный или частичный отказ в обслуживании различных компонентов системы;
• полное или временное нарушение связи с системами управления объектом автоматизации.

^{Описание используемых защитных средств и мер будет представлено после завершения конференции.}

Антифрод-система

Антифрод (от англ. anti-fraud «борьба с мошенничеством»), или фрод-мониторинг — система, предназначенная для оценки финансовых транзакций на предмет подозрительности с точки зрения мошенничества и предлагающая рекомендации по их дальнейшей обработке.

Правила «Противостояния» подразумевают денежную эмиссию, присущую современному мегаполису: распоряжение денежными средствами, бизнес-процессы, нацеленные на извлечение прибыли, накопление и траты средств виртуальными жителями. Все эти операции имеют реальные прототипы в современной жизни, и также, как и в реальной жизни становятся лакомым куском для хакеров.

Еще одним видом карточного мошенничества является так называемый фишинг, когда данные о пластиковой карте получают от самого пользователя. Злоумышленники рассылают пользователям электронные письма, в которых от имени банка сообщают об изменениях, якобы производимых в системе его безопасности. При этом аферисты просят доверчивых пользователей возобновить информацию о карте, в том числе указать номер кредитки и ее ПИН-­код, либо отправив ответное письмо, либо пройдя на сайт банка-­эмитента и заполнив соответствующую анкету. Однако ссылка, прикрепленная к письму, ведет не на ресурс банка, а на поддельный сайт, имитирующий работу настоящего.

Разновидность данного правонарушения — звонки на сотовые телефоны граждан от «представителей» банка с просьбой погасить задолженность по кредиту. Когда гражданин сообщает, что кредита он не брал, ему предлагается уточнить данные его пластиковой карты. В дальнейшем указанная информация используется для инициирования несанкционированных денежных переводов с карточного счета пользователя.

В борьбе с подобным мошенничеством одна из основных целей — интеграция элементов обеспечения информационной безопасности в виде эффективных компонентов бизнес-процессов. Это может быть защита как денежных средств, так и информации, которую можно монетизировать или использовать в нелигитимных целях. В качестве основного средства защиты используется Jet Detective.

Исходя из степени рисков, антифрод-система должна решать следующие задачи:

• автоматизация, детализация и интерпретируемоссть цифровых фактов, являющихся следами выполнения бизнес-процессов;
• сравнение, сопоставление и оценка различных событий или сведений из информационных систем для определения степени правомерности тех или иных действий;
• определение критериев зрелости методологии оценки легитимности событий и наличие способов, зачастую организационных, проверки таких гипотез.

Фрод — это яркий пример последствия атаки на бизнес-процесс, в котором задействовано большое количество людей и технических средств. Основная задача команды Jet Antifraud — выявление и блокирование мошеннических транзакций.
 
^{Описание используемых защитных средств и мер и будет представлено после завершения конференции.}

---

Мы будем вести прямой репортаж с места событий, не переключайтесь.