Estudo mostra que 80% dos ambientes afetados não tinham visibilidade do tráfego ICS e metade tinha problemas de segmentação de rede e conexões externas descontroladas em suas redes OT
Um relatório da Dragos, empresa de segurança cibernética industrial (OT/ICS/IIoT), revela que operadores de ameaças, novos e antigos, têm potencial de causar grandes interrupções nas infraestruturas críticas.
De acordo com o estudo, no ano passado, houve um aumento na sofisticação e no número de ataques direcionados à infraestrutura industrial, incluindo a descoberta de um kit de ferramentas de malware modular capaz de atingir dezenas de milhares de sistemas de controle industrial (ICS) em diferentes verticais do setor.
Ao mesmo tempo, os serviços de resposta a incidentes da Dragos mostraram que 80% dos ambientes afetados não tinham visibilidade do tráfego ICS e metade tinha problemas de segmentação de rede e conexões externas descontroladas em suas redes OT.
“Várias das ameaças que a Dragos rastreia podem desenvolver capacidades disruptivas e destrutivas no futuro, porque os cibercriminosos costumam fazer extenso trabalho de pesquisa e desenvolvimento [P&D] e construir seus programas e campanhas ao longo do tempo”, disseram os pesquisadores da empresa de cibersegurança em um relatório anual recém-lançado. “Esse trabalho de P&D informa suas futuras campanhas e, em última análise, aumenta suas capacidades disruptivas.”
A Dragos tem rastreado um total de 20 grupos de ameaças separados que têm como alvo organizações de infraestrutura industrial desde 2020. No ano passado, oito desses grupos estavam ativos, incluindo dois novos que a empresa apelidou de Chernovite e Bentonite. Destes dois, o Chernovite é o destaque e exibe aspectos de ambos os estágios 1 e 2 da cadeia de cyber kill de ICS: o estágio 1 é a atividade inicial de intrusão e reconhecimento que permite ao invasor coletar informações sobre o ambiente OT que o ajudará a desenvolver recursos para direcionar uma implementação de ICS específica, enquanto o estágio 2 é o armamento das informações coletadas no estágio 1 com o desenvolvimento de recursos para realmente impactar o ICS.
O Chernovite é o grupo por trás de uma plataforma de malware altamente sofisticada capaz de atacar sistemas de controle industrial que a Dragos chama de Pipedream, mas que a empresa de segurança cibernética Mandiant denomina Incontroller. Esse malware foi descoberto no início do ano passado e acredita-se que tenha sido desenvolvido por um agente ligado a um Estado-nação. Embora a Dragos não faça avaliações de atribuição de ataques, a Mandiant observou que isso é consistente com o interesse histórico da Rússia em ICS, mas que as evidências são circunstanciais.
Pipedream ou Incontroller o fato é que ele foi descoberto antes de ser empregado, o que significa que os invasores não conseguiram puxar o gatilho antes de serem encontrados, mas estavam chegando muito perto, disse Robert M. Lee, CEO e cofundador da Dragos durante uma coletiva de imprensa. Na opinião dele, o malware não recebeu a atenção que merecia, provavelmente porque foi encontrado antes de causar qualquer dano. “Mas ele tem capacidades disruptivas e destrutivas muito eficazes e foi o mais próximo que já chegamos de uma infraestrutura dos EUA e da Europa indo embora, sendo desligada.”
Ao dizer que não quer soar exagerado, Lee acha que uma grande parte da comunidade superou isso rapidamente porque não houve um grande ataque. “Não era um oleoduto Colonial Pipeline. Não era a Ukraine Electric. Então, não aconteceu, mas acho que as pessoas não entenderam o quão perto isso estava de acorrer.”
Acredita-se que Chernovite tenha como alvo cerca de uma dúzia de companhias de energia elétrica e de gás natural, mas os recursos do malware não estão limitados a esses setores. Na verdade, o Pipedream é o primeiro malware ICS que aproveita a funcionalidade nativa em alguns dos protocolos ICS mais difundidos, incluindo aqueles usados pela Schneider Electric, Omron, Codesys PLCs, bem como quaisquer PLCs que suportem o padrão OPC Unified Architecture (OPC UA).
Em outras palavras, qualquer coisa que um operador possa fazer nesses protocolos, o malware também pode. De acordo com Lee, é de certa forma mais impressionante do que qualquer software de estação de trabalho de engenharia, de qualquer fornecedor, porque esse software funcionará apenas com PLCs desse fornecedor específico, mas o Pipedream pode funcionar com todos.
A pior parte é que não há vulnerabilidade para ser corrigida, pois é tudo funcionalidade nativa. A Dragos avalia que esse malware será implantado novamente. “As organizações que se concentram apenas na prevenção e não estão fazendo detecção e resposta, têm chance zero contra esse atacante”, disse Lee. “Temos muito menos visibilidade do que as pessoas imaginam globalmente. Eu diria que talvez 5% da infraestrutura global esteja sendo monitorada. Se todos os nossos esforços forem direcionados à prevenção de ataques, mas 5% das empresas estiverem realmente olhando para dentro de casa, você não verá tantas ameaças quanto gostaria. Eu diria que estamos operando nessa janela de 5% e ainda estamos encontrando algumas coisas bastante assustadoras”, completou.
Já o Bentonite é uma ameaça nova, detectado em 2022, e atualmente exibiu apenas recursos de estágio 1. O grupo visa principalmente as indústrias de manufatura e petróleo e gás, mas parece ser oportunista sobre as organizações que escolhe, aproveitando qualquer conexão de acesso remoto exposta que encontram ou explorando ativos voltados para a internet. A implantação de malware do grupo não é notável. No entanto, a Dragos alerta que o grupo é inteligente e coleta informações que permitem que ele se mova para redes OT no futuro, como diagramas de equipamentos industriais ou dados sobre processos físicos.
Outro grupo ainda ativo no ano passado foi o Kostovite, um grupo inicialmente detectado em 2021 que demonstrou capacidade de realizar movimento lateral e alcançar redes OT e ICS. Ele geralmente explora ambientes de perímetro corporativo e pode usar vulnerabilidades de dia zero. Ele mantém infraestrutura dedicada por alvo e há evidências de que pode ter algumas sobreposições com o APT5, um dos grupos de ciberespionagem mais antigos da China.
Kamacite e Electrum são dois outros grupos que continuaram suas atividades e estão associados ao Sandworm, que se acredita ser uma unidade do serviço de inteligência militar russo (GRU). O Sandword foi responsável por ataques destrutivos com o malware NotPetya, por vários ataques contra a rede elétrica ucraniana usando os programas de malware BlackEngery e Industroyer. Acredita-se que Kamacite seja uma equipe focada em obter acesso inicial a redes usando um malware chamado Cyclops Blink e, em seguida, passar esse acesso para o Electrum, que geralmente tem a tarefa de causar um efeito destrutivo. O Kamacite foi visto visando infraestruturas na Europa, Ucrânia e EUA.
O Xenomite é outro grupo mais antigo que permanece ativo e parece focado em atingir companhias de energia elétrica e de petróleo e gás no Oriente Médio e nos EUA. Seus alvos parecem ser cuidadosamente selecionados e têm conexões entre eles. Isso sugere uma compreensão diferenciada do setor da indústria de petróleo e gás de origem não pública, o que permite ao grupo identificar pontos de pressão.
O Xenomite é o grupo que desenvolveu o Triton, uma estrutura de malware capaz de desativar os sistemas de segurança instrumentados (SIS) Trisis usados por uma organização na Arábia Saudita em 2017. Isso o torna um dos grupos com motivação e capacidade comprovadas de destruir infraestrutura crítica.
Em seguida, vem o Erythrite, um grupo de estágio 1 que usa técnicas menos sofisticadas, como envenenamento por otimização de mecanismo de busca (SEO) e malware personalizado. O grupo está focado em roubo de dados e credenciais, mas suas atividades em larga escala, principalmente voltadas para o setor manufatureiro, são preocupantes. Seus alvos incluem cerca de 20% das empresas da lista Fortune 500 e estão localizadas principalmente nos EUA e no Canadá. O grupo é uma ameaça particularmente grande para organizações com segmentação de rede ruim entre TI e OT, disse a Dragos.
Finalmente, o Wassonite é um grupo de estágio 1 que parece ter foco nas indústrias de energia nuclear, elétrica, petróleo e gás, manufatura avançada, farmacêutica e aeroespacial, principalmente do sul e leste da Ásia. O grupo usa os trojans de acesso remoto DTrack e AppleSeed que são distribuídos por meio de iscas de spear phishing personalizadas para indústrias e organizações específicas.
Somando-se às ameaças direcionadas desses grupos, Dragos também observa que os ataques de ransomware contra organizações industriais aumentaram 87% no ano passado, sendo a manufatura o setor mais afetado. O LockBit foi responsável pelo maior número de ataques, seguido pelo extinto grupo de ransomware Conti, Black Basta e Hive.
Vulnerabilidades de ICS e pontos cegos
O número de vulnerabilidades especificamente para hardware e software relacionados a ICS aumentou 27% em relação a 2021, mas isso não representa o quadro completo, pois nem todas as vulnerabilidades são iguais, especialmente no espaço de ICS.
Como tal, a Dragos realizou uma avaliação de risco mais profunda dessas vulnerabilidades e descobriu que 15% estavam em dispositivos que faziam fronteira com redes corporativas e 85% estavam profundamente dentro de redes ICS. Além disso, metade não levou à perda de visibilidade ou controle e metade sim. O maior problema é que, em um setor em que a correção geralmente envolve o desligamento de operações e dispositivos críticos, os proprietários de ativos dependem muito da mitigação e, dos 70% dos avisos de fornecedores que forneceram patches, 51% não continham nenhum conselho de mitigação. Outros 30% dos avisos não tinham um patch e 16% deles não tinham mitigação prática.
Em 34% dos avisos de fornecedores, a Dragos encontrou dados incorretos, como números de software incorretos, modelos de hardware errados, versões incorretas e assim por diante. A empresa avalia que a pontuação de gravidade deveria ser maior que a atribuída pelo fornecedor em 70% dos casos e menor em 30% dos casos.
A boa notícia é que, com base na avaliação de risco da Dragos, que divide as vulnerabilidades em corrigir agora, corrigir no próximo ciclo ou não se importar com isso, apenas 2% caem na categoria corrigir agora. Outros 95% podem ser adiados até o próximo ciclo de manutenção e mitigados com segmentação de rede, monitoramento e talvez autenticação multifator nesse meio tempo. Três por cento são sensacionalistas ou totalmente errados e se enquadram na última categoria.
Das avaliações de segurança realizadas pela empresa, o problema mais comum foi a falta de visibilidade dentro do ambiente ICS, com 80% dos clientes tendo visibilidade OT limitada. No entanto, esta é uma queda de 6% em relação ao ano anterior, portanto, há uma melhoria. Metade dos clientes teve problemas com segmentação de rede, uma queda de 27% e 53% tiveram conexões não divulgadas ou não controladas em suas redes OT, uma queda de 17% em relação ao ano anterior. Embora a situação ainda não seja boa em todo o setor, uma área que parece estar piorando é a falta de separação do gerenciamento de usuários entre TI e OT, que é o caso de 54% das organizações, um aumento de 10% em relação a 2021.
“Essa é uma das coisas que vemos em muitos casos de ransomware, em que os operadores do ransomware visam a rede de TI, preenchem o ransomware por meio do controlador de domínio do Active Directory e, em seguida, entram nas redes de operações, mesmo que tenha sido não é o alvo deles por meio dessas credenciais compartilhadas”, disse Lee.
Uma das descobertas mais preocupantes é que 80% dos clientes avaliados ainda não têm visibilidade de seus sistemas ICS, e 80% das organizações são relativamente maduras e contratam os serviços de organizações como a Dragos. Na realidade, o número é provavelmente maior.
“Se você não sabe o que tem, não tem ideia de quantos ativos você tem, como eles estão conectados, quem está se conectando a eles, qualquer tipo de detecção, você nunca obterá análise de causa raiz ou entenderá o que deu errado ou ser capaz de detectar adversários”, disse Lee. “E quando mais de 80%, em média, não podem fazer, obviamente isso é uma preocupação.”
Fonte:
https://www.cisoadvisor.com.br/ataques-a-infraestrutura-industrial-tem-alta-expressiva-no-mundo/