Группа реагирования на инциденты в области промышленных систем управления (ICS-CERT) опубликовала отчёт с хроникой самых значительных происшествий за октябрь-декабрь 2012 года (pdf). Нужно сказать, что это довольно занимательное чтиво: вирусы всё чаще находят на критически важных объектах коммунальной инфраструктуры США, особенно на объектах энергосистемы. На диаграмме показано, как распределяются по разным секторам промышленности все инциденты в области компьютерной безопасности за 2012 год, по статистике ICS-CERT.
Обозначенный синим цветом энергетический сектор является безусловным лидером: на его долю пришлось 82 инцидента, то есть 41% от общего количества происшествий с системами SCADA в 2012 году.
В последнем отчёте опубликовано лишнее подтверждение этой печальной статистики. Сказано, что несколько недель назад специалисты ICS-CERT были вынуждены оказать помощь по удалению вирусов в компьютерном центре, который управляет работой электрических подстанций.
Как сообщается, всего обнаружено два вируса: один обычный, а другой — сложный, который могли внедрить в результате таргетированной атаки.
Вирусы были обнаружены случайно, когда один из сотрудников принёс USB-флэшку для проверки в ИТ-отдел. На эту флэшку записывались бэкапы конфигурационных файлов. Сотрудник ИТ-отдела вставил флэшку в компьютер со свежими антивирусными базами — и тот выдал предупреждение о наличии вредоносного ПО.
Специалисты ICS-CERT, поднятые по тревоги, обследовали все компьютеры, которые могли контактировать с заражённым USB-флэшкой. Следы сложного вредоносного ПО были обнаружены на двух рабочих станциях, сообщается в отчёте ICS-CERT.
Специалисты ICS-CERT рекомендуют в защищённом окружении на промышленном объекте использовать для бэкапа носители с однократной записью (CD или DVD) или очищать флэшку перед каждым использованием. Использование антивирусов в защищённом окружении затруднено из-за жёсткого контроля на установку стороннего ПО и из-за запрета на связь с интернетом.
