En los últimos años, el número de incidentes en redes de infraestructuras críticas y en sistemas industriales se ha incrementado notablemente. Se han producido ataques con un alto grado de complejidad y conocimiento sobre los elementos afectados y sobre cómo aprovechar la deficiencia histórica en implementaciones de seguridad que tiene este tipo de redes. Esto genera un alto riesgo sobre la vida de las personas que trabajan en estas industrias o que dependen de ellas, así como como en las infraestructuras críticas de los países.
En artículos anteriores hemos hablado sobre cómo las redes industriales basan su seguridad en mantener los sistemas industriales aislados. Esto es lo que conocemos como AirGap, pero se trata de un aislamiento cada vez menos probable y más ineficiente. La falsa confianza de seguridad que genera este aislamiento ha permitido que los ciberatacantes aprovechen herramientas de control remoto (RAT) para filtrarse en redes IT y llegar a las redes OT, desde donde aprovechan las vulnerabilidades de sistemas industriales sin ser detectados.
Las medidas de seguridad se han demorado un poco en llegar a este tipo de entornos debido a la falta de conocimiento en ciberseguridad OT, al aislamiento que se genera en las empresas entre los equipos de IT y OT o simplemente por la errónea presunción de que estos dispositivos no pueden ser alcanzados por los delincuentes. Sin embargo, a principios de este año, MITRE publicó el marco conocido como ATT&CK (Tácticas, Técnicas y Conocimiento Común de Adversarios), especializado para los sistemas de control industrial.
Esta matriz ha sido muy importante en las investigaciones de incidentes que han sucedido en los últimos seis meses, como indica nuestro partner Nozomi Networks en su informe del primer semestre de 2020. En este informe se evidencia cómo la pandemia de la COVID-19 está siendo utilizada para realizar ataques de ransomware y ampliación de botnet en sistemas OT e IoT, además de analizarse las tácticas y técnicas usadas.
Caso práctico con MITRE ATT&CK paso a paso
Para entender como se aplica esta matriz, lo mejor es analizar un ataque de con ella. En este caso vamos a tomar una amenaza persistente avanzada (APT) llamada GreyEnergy, que se hizo pública en noviembre de 2018 pero cuyas primeras detecciones se encuentran en incidentes de la red eléctrica de Polonia en 2015 y más tarde en incidentes del sector financiero durante 2018.
El ataque inicial usó una técnica muy conocida por todos los que trabajamos en seguridad y a la que todos los usuarios de Internet se ven expuestos permanentemente, que es el phishing. Se trata además de una técnica cuyo uso ha aumentado significativamente en esta época de pandemia. Por tanto, el acceso inicial en el mapa de ATT&CK se encuentra en el SpearPhishing Attachment, pues el ataque inicia con un documento de Word que contiene una macro maliciosa con los comandos necesarios para las fases siguientes de ejecución, evasión y persistencia.
Debido a que la carga maliciosa esta en una macro, la cual requiere interacción del usuario, en la sección de ejecución del mapa de ATT&CK se debe marcar el User Execution. Con el fin de lograr persistencia, el malware busca servidores web con una vulnerabilidad para ocultarse, logrando camuflarse en la red, por lo que en el mapa de ATT&CK se marcan en Persistencia el Hooking y en Evasión el Masquerading, debido al packer que usa para ocultar el código malicioso real.
Para detectar objetivos dentro de la red afectada, el malware usa varias herramientas ampliamente conocidas que se pueden agrupar dentro del descubrimiento en el mapa de ATT&CK, como Network Service Scanning y Network Sniffing, logrando detectar los servicios vulnerables antes mencionados para el movimiento lateral, que en el mapa de ATT&CK sería Explotation of Remote Services.
Para la ejecución de comandos usa una conocida técnica entre los sistemas de C&C, la cual es desplegar proxy dentro de la red para redireccionar las solicitudes a los equipos externos de la red, ocultando el trafico de los sistemas de monitoreo de seguridad de la red entre el tráfico interno. Por lo que en la fase de inhibir las funciones de respuesta se marca en el mapa de ATT&CK el de Program Download y el de Alarm Suppression, pues usan un programa externo como el procy y suprimen la alarma tras ocultarse en trafico interno.
Las dos últimas fases dentro del mapa de ATT&CK son más complejas de analizar porque, al ser un malware modular, es posible que el proceso que control que quiera perjudicar cambie según el caso y, por ende, su impacto final. Sin embargo, en las muestras recolectadas se encontró que buscaban detener servicios generando borrado en discos duros de los sistemas de interfaces humanas (HMI), por lo que el impacto final seria daño en propiedad o denegar el control. De esta forma, lo que deberíamos marcar sería Service Stop y Damage to Property.
En las redes industriales este impacto es muy crítico, pues al perder el control o la visibilidad de los controles de operación, no queda otra salida que detener el servicio en una parada de emergencia para mitigar la posibilidad de perdidas humanas, daños ambientales o daños físicos, lo que usualmente genera pérdidas económicas y de reputación muy graves para las empresas afectadas.
Conclusiones
Como se puede apreciar, MITRE ATT&CK permite determinar claramente las tácticas y técnicas usadas por los ciberdelincuentes en los ciberataques orientados a entornos industriales, así como proporcionar la posibilidad de obtener información común recopilada en otros incidentes que ayudan al despliegue de sistemas de monitoreo especializados y a la aplicación de sistemas de inteligencia de amenazas para minimizar los impactos que se puedan tener ante un incidente.
En cada una de las fases se tienen posibles indicadores de compromiso, como por ejemplo el hash del archivo usado en el phishing (f50ee030224bf617ba71d88422c25d7e489571bc1aba9e65dc122a45122c9321) donde, como se puede apreciar a continuación, la macro contiene el malware. Este habría sido detectado con nuestra herramienta DIARIO y los sistemas de control habrían permitido evitar el inicio del incidente.
Esta metodología permite asegurar las tres etapas de control de los sistemas industriales, como ya explicamos en los artículos de introducción a sistemas industriales hace unos años. Se debe asegurar una correcta medición de los datos para que la evaluación y procesamiento de los mismos garanticen el cumplimiento de estándares de trabajo seguro.
Debido a la gravedad de un incidente en entornos industriales, es fundamental que se empiecen a contemplar estos marcos de seguridad en dichos entotrnos para que el monitoreo y respuesta a incidentes cibernéticos, así como los sistemas de control remoto, gestionen mejor los requerimientos de seguridad y eviten, literalmente, poner vidas en riesgo.
The post Cuando prevenir un ataque cibernético se convierte en una decisión vital appeared first on Think Big.