0 0 A recente descoberta de uma estrutura de malware — conhecida como Pipedream e Incontroller — que visa sistemas de controle industrial (ICS) destaca o que pode acontecer quando tudo dá certo, destacaram os profissionais de segurança do ICS em um painel de discussão organizado pelo Atlantic Council em 22 de abril.
Ao contrário dos ataques anteriores, especialistas em segurança cibernética detectaram componentes do malware, pesquisando as técnicas dos atacantes e erigiram defesas contra o Pipedream, antes mesmo de serem implantados. Em seu estado atual, a estrutura possui capacidades que podem digitalizar e se comunicar com alguns controladores lógicos programáveis da Schneider Electric e Omron, bem como digitalizar e perfilizar servidores de comunicação unificados com base na especificação de Arquitetura Unificada OPC.
A expertise e as capacidades encapsuladas no quadro apontam para um ator de estado-nação como fonte, tornando a investigação coordenada uma vitória significativa, e o melhor argumento para o retorno do investimento (ROI) da segurança cibernética, diz Danielle Jablanski, estrategista de segurança cibernética de tecnologia operacional da Nozomi Networks e ex-consultora do Departamento de Defesa dos EUA.
“Para o terrorismo, nunca podemos falar sobre [os sucessos], porque eles são classificados”, diz ela. “Mas este é o melhor ROI potencial que já vimos, porque [a Pipedream] realmente não se tornou operacional, e agora podemos aprender com isso.”
Em 14 de abril, a empresa de resposta gerenciada Mandiant e o especialista em ICS Dragos divulgaram relatórios separados sobre a estrutura do ICS, que eles apelidaram de Incontroller e Pipedream, respectivamente. A estrutura de espionagem cibernética e ataque é a sétima ferramenta de ataque definida para atingir especificamente sistemas de controle industrial, mas a segunda a ser divulgada em abril. Em 12 de abril, a empresa de cibersegurança ESET anunciou que a empresa havia trabalhado com um provedor de energia ucraniano para mitigar um ataque da Industroyer 2 no mês anterior.
Embora especialistas em segurança cibernética tenham sido reticentes em atribuir os ataques à Rússia, as ligações entre seus alvos e a atual invasão russa da Ucrânia sugeriram que a nação é o patrocinador mais provável. Embora o país possa hesitar em atacar infraestrutura crítica, a Rússia não teve qualquer escrúpulo em apoiar ataques de ransomware, diz Bryson Bort, CEO e fundador da Scythe e um painelista.
“Eu não acho que a Rússia vai nos atacar diretamente [visando] sistemas de controle industrial, porque isso vai convidar uma resposta militar, que eles não podem pagar – eles já têm o suficiente em suas mãos”, diz ele. “Mas estou surpreso que eles não tenham amplificado o ransomware contra nossa indústria privada.”
A discussão do painel contou com uma variedade de especialistas do governo e do setor que também atuam como bolsistas na Cyber Statecraft Initiative, que faz parte do Centro de Estratégia e Segurança do Conselho Atlântico.
Para atacantes, o ICS é um shopping center
A preocupação com o Pipedream não é porque ele contém explorações para vulnerabilidades de zero-day, mas porque o conjunto de ferramentas é feito sob medida para operar em ambientes comuns de ICS. As análises listam três componentes (Mandiant) a cinco (Dragos) que compõem a estrutura de ataque, tendo como alvo os controladores lógicos programáveis (PLCs) da Schneider Electric, os PLCs Omron e os servidores de comunicação unificados usando a especificação OPC (Open Platform Communications).
Os atacantes não estão explorando vulnerabilidades nos produtos, mas problemas na interoperação que levam a problemas de segurança, diz Bort da Foice.
“Essa é uma vulnerabilidade no ecossistema arquitetônico e no projeto dos sistemas de controle industrial, ponto final”, diz. “Ataques como este mostram o quão plana a arquitetura [de rede] realmente é, e essa é realmente a verdadeira vulnerabilidade no design, e isso é um problema geracional — não é o tipo de coisa que podemos dizer, oh, nós vamos corrigir isso e corrigi-lo – temos que trocar este equipamento ao longo dos próximos 10, 20 e 30 anos.”
Megan Samford, vice-presidente e diretora de segurança de produtos da Schneider Electric e membro do painel, ressaltou que o problema não era uma vulnerabilidade de software. Em vez disso, o conjunto de ferramentas se concentrou em fornecedores específicos porque esses fornecedores provavelmente estão nas redes alvo.
“Se você pudesse imaginar um shopping sendo construído, e você pudesse ver que há uma loja schneider e há uma loja Omron, mas provavelmente há 20 outras lojas que poderiam ser construídas — isso é realmente o que era”, diz ela. “Portanto, nossos produtos estavam no quadro, não por causa de uma fraqueza, mas por causa da escala global e nossos produtos operam e suportam infraestrutura crítica localmente.”
Implicações Geopolíticas
Atualmente, existem sete estruturas de atacantes conhecidas que têm como alvo sistemas de controle industrial: Stuxnet, Havex, Black Energy 2, Industroyer/CrashOverride, HatMan/Triton/Trisys, Industroyer 2 e Pipedream/Incontroller. Embora Stuxnet tenha sido atribuído a um esforço conjunto EUA-Israel, todos os seis outros quadros foram ligados, em diferentes graus, aos esforços russos.
“O que agora sabemos com certeza é que nossos adversários fizeram sua lição de casa”, diz Jablanski, da Nozomi Networks. “Existem sete incidentes focados e específicos da tecnologia que vimos visando o hardware e software que falamos em OT e ICS … mas isso não captura toda a gama de atores que estão olhando para as operações industriais.”
Além dos Estados Unidos e da Rússia, a China também tem ferramentas que visam sistemas de controle industrial, disseram os especialistas.
FONTE: DARK READING
