Sistemas de Controle Industrial: O Novo Alvo do Malware

Views: 177
0 0
Read Time:5 Minute, 39 Second

Durante 2020, a CISA emitiu 38 alertas cibernéticos, desde atores do estado-nação como Irã Coréia do Norte até ransomware conhecido direcionado especificamente para operações de oleodutos e notavelmente o último alerta emitido em 17 de dezembro de 2020, Compromisso Avançado de Ameaça Persistente de Agências Governamentais, Infraestrutura Crítica e Organizações do Setor Privado, para o ataque à cadeia de suprimentos SolarWinds.

2020 representa um aumento de 660% nos alertas cibernéticos em relação a 2019, durante o qual a CISA emitiu cinco avisos cibernéticos durante todo o ano.

As organizações de toda a linha também viram um número crescente de adversários visando e atacando sistemas de controle industrial (ICS) e redes de tecnologia operacional (OT). É uma tendência que está claramente continuando no novo ano (‘Coisas Perigosas’: Hackers Tentaram Envenenar o Abastecimento de Água da Cidade da Flórida).

E à medida que a superfície de ataque continua a se expandir para infraestrutura crítica, com proprietários e operadores adotando novas tecnologias para melhorar a eficiência operacional, espera-se que o aumento das vulnerabilidades e do direcionamento de sistemas ICS e redes OT aumentem.

Segmentação de redes OT e o aumento do malware focado em ICS

No lado da TI da casa, o malware é uma grande indústria. O ransomware (um tipo de malware que restringe o acesso a um pagamento de resgate), por exemplo, deve atingir US$20 bilhões em custos globais de danos este ano, quase o dobro do número em 2019 e o triplo do número de 2018.

E há um precedente claro para a natureza de pagamento rápido e o ROI das atividades de ransomware. No ano passado, Garmin foi vítima do WastedLocker e supostamente pagou um resgate de US$10 milhões. Outras vítimas de ransomware de 2020 incluem a fabricante de eletrônicos Foxconn, um oleoduto dos EUA, e o Toll Group — que foi atingido duas vezes durante o ano — para citar alguns.

Houve também um aumento no nível de programação e flexibilidade do malware nos últimos anos. E essa nova geração de malware tem sido cada vez mais implantada em ataques — impactando tanto os sistemas de TI quanto de TO.

Malware modular: módulos ICS alojados em malware de TI

O malware modular, como o nome sugere, contém diferentes módulos. Esses módulos podem ser carregados dinamicamente em sistemas de destino dentro de um ambiente específico. Por exemplo, se a vítima tiver um PC com Windows 7, um módulo com exploits do Windows 7 pode ser carregado para atingir esse ativo específico. Esta não é uma tática nova.

Mas muitos grupos adversários também têm criado malware focado em ICS e SCADA. TRITON, designado o “malware mais assassino do mundo” pela MIT Technology Review, ataca especificamente sistemas instrumentados de segurança (SIS). Um sistema instrumentado de segurança toma “ações automatizadas para manter uma planta em um estado seguro, ou para colocá-la em um estado seguro, quando condições anormais estão presentes”; SIS é a última linha de defesa em um processo industrial, muitas vezes prevenindo desastres catastróficos.

Os ataques da TRITON contra os sistemas de segurança foram um chamado de clarim — indo além dos ataques iniciais às operações de produção para a terra de danos físicos e potenciais calamidades de vida e segurança.

A progressão lógica deve, então, incluir mais módulos baseados em Internet das Coisas (IoT) e Internet das Coisas Industrial (IIoT). E experiente no campo realizando avaliações de risco cibernético e testes de penetração, muitas vezes existem sistemas on-line baseados em TI que estão inadvertidamente ou propositadamente conectando um sistema conectado à Internet à rede OT. Na linguagem de segurança cibernética, isso é conhecido como um ponto de articulação, permitindo que um invasor mude de atacar com sucesso um host habilitado para Internet para atacar a rede OT, que não deveria ter uma conexão direta com a Internet.

Uma vez que uma posição é estabelecida em um host conectado ao TO, geralmente há pouca proteção para um adversário superar. Se a operação tiver visibilidade em suas redes OT e puder detectar a intrusão, ainda é necessário tempo para isolar e remediar as ações contraditórias. E isso pressupõe que a intrusão seja detectada imediatamente quando a realidade é que os adversários geralmente passam meses sem serem detectados nos sistemas OT.

Além da visibilidade e detecção, poucos têm proteções em vigor para proteger ativos críticos do TO – como o SIS. Por exemplo, se as leituras do controlador lógico programável (PLC) e SIS fossem manipuladas, o operador saberia? Geralmente, a resposta é não. (O SIS verifica os PLCs, mas nada está validando o SIS.)

A capacidade de adicionar vários módulos dentro do malware permite que um adversário personalize seu ataque para cada ambiente exclusivo. Sua HMI está conectada a uma porta em um telefone VoIP que não está suficientemente isolada? Um módulo para atacar esse telefone e usá-lo como ponto de articulação na rede de sistemas de controle industrial poderia ser empregado.

Intensificar a segurança cibernética do AT: Proteja ativos críticos

A cada ano, mais e mais vulnerabilidades são descobertas em equipamentos de TO. E atores maliciosos estão incorporando ataques contra essas vulnerabilidades do ICS em suas suítes. Esses ataques serão usados. E é preciso perguntar o quão preparada a operação está para perceber, reagir e se defender contra esses ataques? Suas operações (e resultados) podem sobreviver às tentativas?

Parecem cenários da indústria do entretenimento, mas são do mundo real. O telefone VoIP é um exemplo intencional. Durante uma avaliação de risco cibernético dentro de uma operação industrial, a organização tinha um roteador WIFI em uma sala de conferência vulnerável a um Ataque de Reinstalação de Chaves (KRACK). Uma vez que os testadores de caneta OT entraram na rede WIFI explorando essa vulnerabilidade, encontraram uma vulnerabilidade dentro do telefone VoIP, executaram um ataque bem-sucedido contra esse telefone, contornaram um firewall e ganharam uma posição em uma rede OT — em poucos minutos e através de um roteador WIFI aparentemente inócuo em uma sala de conferência.

O malware modular permite que um invasor encadeie ataques específicos do ambiente e os automatize para explorar falhas muito específicas. Também pode simplificar mais facilmente conjuntos de ferramentas adversárias ou quebrar fases de reconhecimento e exploração em etapas mais bem delineadas feitas por diferentes equipes.

O ataque de 2020 contra a Garmin é um exemplo da aceleração nos ataques híbridos de TI/OT, já que o ataque bem-sucedido de ransomware não apenas interrompeu as operações de TI, mas supostamente os serviços e a fabricação. E é um lembrete: assim como a segurança, para evitar desastres, as operações devem tomar medidas proativas para proteger suas operações, funcionários e partes interessadas maiores.

FONTE: MISSION SECURE

Previous post Resolução BACEN 4893 substitui 4658 – Veja o que muda
Next post Ransomware: Cuidado com 13 Táticas, Ferramentas e Procedimentos

Deixe um comentário