Prevenir um ataque cibernético se torna uma decisão vital

Nos últimos anos, o número de incidentes em redes de infraestrutura crítica e sistemas industriais aumentou significativamente . Já ocorreram ataques com alto grau de complexidade e conhecimento sobre os elementos afetados e sobre como aproveitar a deficiência histórica em implementações de segurança que este tipo de rede possui. Isso gera um alto risco para a vida das pessoas que trabalham nessas indústrias ou que delas dependem, bem como nas infraestruturas críticas dos países.

Em artigos anteriores, falamos sobre como as redes industriais baseiam sua segurança em manter os sistemas industriais isolados. Isso é o que conhecemos como AirGap , mas é um isolamento cada vez mais improvável e ineficiente. A falsa confiança de segurança que esse isolamento gera permitiu que os ciberataques aproveitassem as ferramentas de controle remoto (RAT) para se infiltrar nas redes de TI e chegar às redes OT , de onde se aproveitam de vulnerabilidades em sistemas industriais sem serem detectados.

As medidas de segurança demoraram a chegar a esses tipos de ambientes devido à falta de conhecimento em segurança cibernética de OT , ao isolamento que é gerado nas empresas entre as equipes de TI e OT ou simplesmente por causa da suposição errônea de que eles dispositivos não podem ser alcançados por criminosos . No entanto, no início deste ano, o MITER publicou o framework conhecido como ATT & CK (Tactics, Techniques and Common Adversary Knowledge), especializado para sistemas de controle industrial.

Essa matriz tem sido muito importante nas investigações de incidentes ocorridos nos últimos seis meses, conforme apontado por nossa parceira Nozomi Networks em seu relatório do primeiro semestre de 2020 . Este relatório mostra como a pandemia COVID-19 está sendo usada para realizar ataques de ransomware e expansão de botnet em sistemas OT e IoT, além de analisar as táticas e técnicas utilizadas.

Estudo de caso com MITER ATT & CK passo a passo

Para entender como essa matriz é aplicada, é melhor analisar um ataque com ela. Neste caso, vamos pegar uma ameaça persistente avançada (APT) chamada GreyEnergy , que foi tornada pública em novembro de 2018, mas cujas primeiras detecções são em incidentes na rede elétrica polonesa em 2015 e posteriormente em incidentes no setor financeiro durante 2018 .

O ataque inicial utilizou uma técnica bem conhecida por todos nós que trabalhamos com segurança e à qual todos os usuários da Internet estão permanentemente expostos, que é o phishing . É também uma técnica cujo uso aumentou significativamente nesta época de pandemia. Portanto, o acesso inicial ao mapa ATT & CK encontra-se no Anexo SpearPhishing , já que o ataque começa com um documento do Word que contém uma macro maliciosa com os comandos necessários para as seguintes fases de execução, evasão e persistência.

Como a carga maliciosa está em uma macro, o que requer interação do usuário, na seção de execução do mapa ATT e CK, a Execução do usuário deve ser marcada . Para conseguir persistência, o malware procura servidores web com vulnerabilidade para se esconder, conseguindo disfarçar-se na rede, portanto no mapa ATT & CK, o Hooking é marcado em Persistência e Mascaramento em Evasão , devido ao empacotador que utiliza para ocultar o código malicioso real.

Para detectar alvos na rede afetada, o malware usa várias ferramentas amplamente conhecidas que podem ser agrupadas na descoberta de mapas ATT e CK, como varredura de serviço de rede e detecção de rede , gerenciando para detectar os serviços vulneráveis ​​mencionados acima para movimento lateral, que no mapa ATT & CK seria Exploração de Serviços Remotos.

Para a execução de comandos, utiliza uma técnica bem conhecida entre os sistemas C&C, que é implantar proxy dentro da rede para redirecionar solicitações a computadores externos da rede, ocultando o tráfego dos sistemas de monitoramento de segurança da rede entre tráfego interno. Portanto, na fase de inibição das funções de resposta, os mapas de Download de Programa e Supressão de Alarmes são marcados no mapa ATT & CK , pois utilizam um programa externo como procy e suprimem o alarme após se esconder no tráfego interno.

As duas últimas fases dentro do mapa ATT & CK são mais complexas de analisar porque, sendo um malware modular, é possível que o processo que ele controla que deseja prejudicar mude dependendo do caso e, portanto, de seu impacto final. Porém, nas amostras coletadas, constatou-se que se procurava interromper os serviços gerando apagamento nos discos rígidos dos sistemas de interface humana (HMI), de forma que o impacto final seria dano patrimonial ou negação de controle. Desta forma, o que deveríamos marcar seria Parada do Serviço e Danos à Propriedade .

Nas redes industriais esse impacto é muito crítico, pois ao perder o controle ou visibilidade dos controles operacionais, não há outra saída a não ser interromper o serviço em uma parada de emergência para mitigar a possibilidade de perdas humanas, danos ambientais ou danos físicos. , o que costuma gerar perdas econômicas e de reputação muito graves para as empresas afetadas.

Conclusões

Como se pode verificar, o MITER ATT & CK permite determinar com clareza as táticas e técnicas utilizadas pelos cibercriminosos nos ciberataques dirigidos a ambientes industriais, além de possibilitar a obtenção de informações comuns coletadas em outros incidentes que auxiliem na implantação de sistemas de monitoramento especializados e aplicação de sistemas de inteligência de ameaças para minimizar os impactos que podem ocorrer no caso de um incidente.

Em cada uma das fases, existem possíveis indicadores de comprometimento, como o hash do arquivo usado em phishing (f50ee030224bf617ba71d88422c25d7e489571bc1aba9e65dc122a45122c9321) onde, como você pode ver abaixo, a macro contém o malware . Isso teria sido detectado com nossa ferramenta DIÁRIO e os sistemas de controle teriam permitido evitar o início do incidente.

Esta metodologia permite garantir as três etapas de controle dos sistemas industriais, conforme explicamos nos artigos introdutórios aos sistemas industriais há alguns anos. A correta medição dos dados deve ser garantida para que a sua avaliação e processamento garantam o cumprimento das normas de trabalho seguro.

Devido à gravidade de um incidente em ambientes industriais, é fundamental que esses frameworks de segurança comecem a ser considerados nesses ambientes para que o monitoramento e resposta a incidentes cibernéticos, bem como os sistemas de controle remoto, gerenciem melhor os requisitos de segurança e evite literalmente colocar vidas em risco.