0
0
A Agência de Segurança cibernética e segurança de infraestrutura dos EUA (CISA), juntamente com a NSA, o FBI e outros, instou esta semana organizações críticas de infraestrutura — especialmente no setor de energia — a implementar defesas contra um conjunto de ferramentas de ciberataque altamente sofisticadas projetadas para atingir e interromper ambientes industriais.
O aviso se aplica especialmente às redes ICS e OT usando controladores lógicos programáveis (PLCs) da Schneider Electric e Omron e servidores baseados em Arquitetura Unificada de Comunicações de Plataforma Aberta (OPC UA). O aviso foi motivado pela recente descoberta de três ferramentas de malware personalizadas para direcionar essas tecnologias e manipulá-las de maneiras perigosas e potencialmente destrutivas. No entanto, o malware pode ser adaptado para atacar outras tecnologias ics também.
A assessoria da CISA continha uma série de medidas de mitigação que recomendava que as organizações implementassem de forma proativa para reduzir a exposição à nova ameaça.
Mandiant analisou as novas ferramentas de ataque recentemente em parceria com Schneider e está rastreando-as coletivamente sob o nome INCONTROLLER. Em um relatório esta semana, o fornecedor de segurança descreveu o malware como tendo uma capacidade “excepcionalmente rara e perigosa” e representando um risco crítico para as organizações que usam o equipamento alvo. Mandiant comparou o INCONTROLLER com ameaças específicas do ICS anteriores, como o Stuxnet, que foi usado para destruir centenas de centrífugas em uma instalação de enriquecimento nuclear iraniano em 2010, e a Industroyer, que causou uma queda de energia na Ucrânia em 2016.
Trabalho de um grupo patrocinado pelo Estado russo?
“Acreditamos que o INCONTROLLER está muito provavelmente ligado a um grupo patrocinado pelo Estado, dada a complexidade do malware, a experiência e os recursos necessários para construí-lo e sua utilidade limitada em operações financeiramente motivadas”, diz Rob Caldwell, diretor de sistemas de controle industrial e tecnologia operacional da Mandiant. Ele diz que mandiant foi incapaz de associar o malware a qualquer grupo rastreado anteriormente, mas acredita que aqueles por trás dele são provavelmente ligados à Rússia. “Embora nossas evidências ligando o INCONTROLLER à Rússia sejam em grande parte circunstanciais, notamos que dada o histórico de ataques cibernéticos destrutivos da Rússia, sua invasão atual da Ucrânia e ameaças relacionadas contra a Europa e a América do Norte.”
A Mandiant identificou uma das ferramentas de ataque como “Tagrun”, uma ferramenta para digitalizar ambientes OPC, enumerar servidores OPC, coletar dados deles e credenciais de força bruta. O fornecedor de segurança identificou a ferramenta como provavelmente usada para a realização de reconhecimento em redes industriais. Mandiant chamou a segunda ferramenta de “Codecall”, que descreveu como uma estrutura que usa dois protocolos industriais comuns – Modbus e Codesys – para se comunicar e interagir com pelo menos três PLCs Schneider. O malware pode identificar Schneider e outros dispositivos habilitados para Modbus em uma rede e se conectar a eles usando os dois protocolos. A terceira ferramenta, “Omshell”, tem como alvo os PLCs Omron via HTTP, Telnet e um protocolo Omron proprietário. Ele foi projetado para interagir com um mecanismo em dispositivos Omron para monitorar o funcionamento seguro dos chamados servomotores usados em aplicações industriais. O malware pode obter acesso shell a PLCs Omron e tomar uma variedade de ações maliciosas, incluindo limpar a memória do dispositivo, redefinir um dispositivo, carregar dados de backup e executar código arbitrário nele.
Coletivamente, as ferramentas de malware têm recursos que permitem aos invasores vigiar e coletar dados de ambientes industriais de destino que eles podem usar para identificar sistemas de alto valor e lançar ataques potencialmente catastróficos contra eles em ambientes industriais. Os cenários potenciais de ataque incluem atores de ameaças usando Omshell e/ou Codecall para travar PLCs direcionados e interromper operações; envio de comandos maliciosos aos PLCs para sabotar processos industriais; ou desabilitar controladores de segurança para causar destruição física em uma planta ou ambiente industrial.
“Os componentes do INCONTROLLER contêm métodos mais sofisticados de interagir e atacar ou modificar os dispositivos direcionados do que os vistos em malwares específicos do ICS anteriores”, diz Caldwell. Esses componentes são projetados para facilitar a interação com dispositivos PLC para atacantes com pouco conhecimento detalhado dos protocolos de ICS direcionados. “Além disso, esses componentes são modulares e podem ser estendidos para atingir dispositivos adicionais ou adicionar recursos adicionais”, diz ele.
A Mandiant disse que também está rastreando duas outras ferramentas direcionadas a sistemas baseados no Windows que parecem estar relacionadas à atividade INCONTROLLER. Um deles explora uma vulnerabilidade conhecida, cve-2020-15368, para instalar e explorar um driver vulnerável em sistemas de destino, e o outro é um backdoor que permite atividade de reconhecimento. As ferramentas podem ser usadas para apoiar os objetivos mais amplos de um ator de ameaças em um ataque cibernético industrial, disse Mandiant.
Um perigo claro e presente para ambientes industriais
O fornecedor de segurança do ICS Dragos listou um total de 16 dispositivos e ferramentas de software da Omron e Schneider que disse que o malware foi projetado para interagir e explorar. As tecnologias são usadas em uma ampla gama de verticais da indústria. Mas Dragos disse que sua análise do malware sugere que ele é direcionado principalmente para equipamentos em ambientes de gás natural liquefeito (GNL) e energia elétrica.
Dragos está rastreando coletivamente as ferramentas de ataque como “PIPEDREAM” e os atores de ameaça por trás dele como “CHERNOVITE”. Um whitepaper que a empresa divulgou esta semana sobre a ameaça identificou o ator de ameaça como tendo a capacidade – entre outras coisas – de manipular o torque e a velocidade dos servomotores da Omron de uma maneira que poderia causar destruição física suficiente para resultar em perda de vidas. O whitepaper do Dragos listou várias outras ações maliciosas para as qual os atores de ameaças poderiam usar o malware, incluindo o desencadeamento da negação de controle e negação de visualização para os operadores do ICS; interromper a tecnologia operacional, mascarando-se como um processo confiável; desabilitando os controladores de processo para estender o tempo de recuperação de um incidente; e minando mecanismos de autenticação e criptografia em ambientes OT.
“A PIPEDREAM é uma ameaça clara e presente à disponibilidade, controle e segurança dos sistemas e processos de controle industrial que colocam em risco as operações e vidas”, disse Dragos.
A notícia das ferramentas de malware vem poucos dias depois que relatos da equipe de resposta a emergências de computador da Ucrânia (CERT-UA) frustraram um esforço do grupo russo Sandworm para interromper a rede elétrica do país usando a Industroyer, uma das primeiras ferramentas de malware conhecidas especificamente na rede elétrica. Até agora, os pesquisadores descobriram pelo menos sete ferramentas de ataque altamente sofisticadas específicas do ICS, que incluem Stuxnet, Industroyer, Triton e BlackEnergy.
Danielle Jablanski, estrategista de cibersegurança da Nozomi Networks, diz que as ferramentas combinadas neste caso foram construídas para procurar dispositivos específicos, entender seus parâmetros operacionais, obter acesso credenciado e controlar remotamente várias funções legítimas dos dispositivos para seus objetivos pretendidos. “Estes são personalizáveis com base nos dispositivos visados, mas podem ser modificados para atingir dispositivos adicionais que aproveitam os mesmos protocolos”, diz ela.
Jablanski diz que as opções para impedir ataques tornam-se escassas quando os atores de ameaças têm as credenciais e sabem como usar dispositivos com base em seu design, protocolos e recursos.
Atualmente não está claro em que ambiente hospedeiro as ferramentas recém-descobertas foram encontradas. Mas, normalmente, algumas medidas de stop-gap para mitigar a exposição à ameaça incluiriam desativar funcionalidades desnecessárias, introduzir controles de acesso para limitar usuários legítimos que se comunicam com o dispositivo e levar o gerenciamento de senha a sério. “O endurecimento de dispositivos para limitar a suscetibilidade e a gravidade dos incidentes cibernéticos é um marco da defesa em estratégias profundas em ambientes ICS/OT”, diz ela.
Eric Byres, CEO da aDolus Technology, diz que as novas ferramentas destacam uma tendência recente longe de ataques anteriores, onde atores de ameaças tiveram acesso a um ambiente OT saltando para ele a partir da rede de TI. Esses tipos de ataques tornaram-se menos comuns com muitas organizações que reforçam a segurança do OT. Então, atacantes sofisticados estão encontrando outras maneiras de estabelecer acesso às redes OT de suas vítimas, diz ele apontando o Stuxnet como um exemplo.
“A Stuxnet fez isso através de uma combinação de pen drives USB infectados, compartilhamento de impressoras e arquivos lógicos PLC modificados”, diz ele. Da mesma forma, a Dragonfly, de origem russa, atacou os fabricantes de equipamentos de controle OT e substituiu o software que eles forneceram aos seus clientes industriais por versões trojanizadas.
“Esses ataques impulsionados pela cadeia de suprimentos estão agora se tornando o método preferido para os atacantes do Estado-nação, especialmente as agências de espionagem russas”, diz Byres. “Ao ir atrás de fornecedores OT em vez dos sistemas OT diretamente, eles têm enormes efeitos de multiplicação.”
FONTE: DARK READING