Kaltetutako baliabideak:

Hainbat SCI/SCADA gailu, honako hauek barne:

• Schneider Electric-en PLC,
• OMRON Sysmac NEX PLC,
• OPC UA zerbitzariak,
• MODBUS,
• CODESYS.

Kaltetutako SCI/SCADA sistemen ugaritasuna dela eta, kaltetutako industria edo balizkoen kopurua oso zabala da, batez ere energia sektorean.

Azalpena:

Hainbat erakundek (DOE, CISA, NSA eta FBI) segurtasun ohar bateratua argitaratu dute kontrol industrial eta automatizazio sistemak (SCI/SCADA) erasotzeko garatu den APT mehatxuaz ohartarazteko. Dragos konpainiak, mehatxu honi buruzko bere ikerkuntzan, PIPEDREAM izena erabili du. Aldiz, Mandiant-en ikerkuntzan INCONTROLLER deitu zaio, CHERNOVITE jarduera taldeak garatua (Dragos-ek emandako izena).

SCIren asmo gaiztoko framework hau modularra da, eta ez ditu ahultasun zehatzak baliatzen. Aldiz, CODESYS, MODBUS eta OPC UA protokoloko funtzio estandarrak erabiltzen ditu. Hortaz, framework tresnek bezero legitimo baten modura jokatzen dute, edo kontrolatzailea programatzeko garapen ingurune baten modura. Framework-ak makinak eta prozesu kontrolatuak eteteko, sabotatzeko eta baita fisikoki suntsitzeko ere ahalmena du, eta honakoak bezalako ekintzak ahalbidetzen ditu:

• OPC UA zerbitzarietara sartzea,
• gailuetara MODBUS frame-ak bidaltzea,
• sarea eskaneatzea,
• PLCra konektatzea,
• fitxategiak, aplikazioak, konfigurazioak eta abar deskargatzea eta igotzea,
• DoS erasoak egitea.

Konponbidea:

APT honek ez du ahultasun zehatz bat baliatzen. Aldiz, kaltetutako SCI/SCADA sistemen jatorrizko funtzionaltasunak baliatzen ditu, eta hortaz arazoa konpontzeko ez dago produktuen bertsio zuzentzailerik. Horregatik Mandiant eta Dragos-en ikerkuntzetan zehazten diren arintze neurriak eta gomendioak ezarri behar dira, bai eta fabrikatzaile bakoitzak kontsideratzen dituenak ere.

Mandiant-ek bere ikerkuntzan zenbait Yara arau eskaintzen ditu mehatxu hau antzemateko.

Modu osagarrian, CISAk honako arintze neurri proaktiboak gomendatzen ditu:

• Perimetroko kontrol zorrotzak erabiliz SCI/SCADA sistema eta sareak sare korporatiboetatik eta Internetetik isolatzea, eta SCI/SCADA perimetroetan sartzen den edo handik ateratzen den edozein komunikazio murriztea.
• Faktore anitzeko autentifikazioa gaitzea SCI sare eta gailuetarako urruneko sarbide guztietarako, posible den guztietan.
• Zibergaizkileen aurreko erantzun plan bat izatea eta aldiro praktikan jartzea IT, zibersegurtasun eta eragiketa ataletan dagokienekin.
• SCI/SCADA gailu eta sistemen pasahitz guztiak aldatzea egutegi koherente baten arabera, batez ere lehenetsitako pasahitz guztiak, gailu bakoitzerako pasahitz seguru eta bakarrekin.
• Segurtasun kopiak offline izatea, eraso kasuan berreskuratze azkarrago bat izateko.
• SCI/SCADA sistemen sare konexioak murriztea soilik bereziki baimenduta dauden kudeaketako eta ingeniaritzako workstation-etara.
• Ziurtatzea aplikazioak soilik instalatzen direla funtzionamendurako beharrezkoak direnean.
• Pribilegio gutxieneko printzipioa ezartzea.

Bere aldetik, Schneider Electric-ek bere erabiltzaileei gomendatzen die eskuragarri dauden azken bertsioetara eguneratzea:/p>

• EcoStruxure Machine Expert,
• EcoStruxure Machine Expert Basic,
• PLCen firmwarea Controller Assistant eta Controller Update ezaugarriak erabiliz.

Xehetasuna:

INCONTROLLER/PIPEDREAM asmo gaiztoko framework modular bat da SCIri erasotzeko. Erasotzaile batek balia lezake etetea, degradazioa eta baita suntsiketa ere eragiteko, helburuen eta ingurunearen baitan. MITRE ATT&CK para SCI matrizearen testuinguruan, mehatxu honek SCIrako ezagutzen diren eraso tekniken %38 exekuta dezake eta taktiken %83.

INCONTROLLER/PIPEDREAM-ek hiru tresna barneratzen ditu, eta horiek baliatuz erasotzaileak jarraibideak bidal litzake SCI gailuetara, sare industrialeko protokoloak erabiliz:

• TAGRUN: OPC zerbitzariak eskaneatzen ditu indar hutseko erasoak egiteko;
• CODECALL: bere moduluek MODBUS eta CODESYS komunikazioak eta gutxienez Schneider Electric-en 3 PLC eskaneatu eta erasotzen dituzte;
• OMSHELL: Omron-en PLCarekin interaktuatzen eta hura eskaneatzen du HTTP, Telnet eta Omron FINS protokoloaren bidez.

INCONTROLLER/PIPEDREAMek irismen handiko eragina lortzen du bost osagairen bidez, Dragos-ek modu honetara etiketatu dituenak:

• EVILSCHOLAR,
• BADOMEN,
• DUSTTUNNEL,
• MOUSEHOLE,
• LAZYCARGO.

Osagai hauek batera erabiliz gero, erasotzaileak ingurune industrial bat identifika dezake, ingeniaritzako workstation-etan infiltratu, prozesuen kontrolatzaileak baliatu, segurtasun zonak eta prozesuak zeharkatu, kontrolatzaileak desaktibatu eta exekutatutako logika eta programazioa manipulatu. Gaitasun horiek guztiek eragin lezakete ingurune industrial baten segurtasuna, eskuragarritasuna eta kontrola galtzea, eta hura berreskuratzeko denbora luzatzea.

Dragos-ek jakinarazi du ez duela zantzurik uste izateko INCONTROLLER/PIPEDREAM modu aktiboan erabilia izan denik ahultasunak baliatzeko.