Coleta de Inteligência sobre a Infraestrutura Crítica dos EUA

Esta pesquisa é uma continuação da anterior sobre Sistemas de Controle Industrial. Desta vez, será apresentado como a Inteligência de Código Aberto pode ser aplicada ao reconhecimento de infraestrutura crítica. Em muitos casos, é possível restringir uma pesquisa a edifícios específicos, como usinas elétricas, estações de tratamento de águas residuais ou instalações químicas e manufaturadas. A pesquisa consiste em 26.000 dispositivos expostos nos Estados Unidos.

A pesquisa e a apresentação foram preparadas para a Conferência de Segurança Cibernética ICS da SecurityWeek em Atlanta.

Inteligência de Código Aberto

Inteligência de código aberto (OSINT) é um campo amplo e é usado por todos, mesmo sem saber. O que você lê ou assiste afeta sua opinião e, com base nas informações coletadas, você acredita no que acredita e toma suas decisões e julgamentos. As fontes dessas informações podem ser os meios de comunicação de massa tradicionais — televisão, rádio e jornais ou a Internet e os dados nela contidos — sites, mídias sociais, blogs.

Além disso, o OSINT é usado para diferentes tipos de investigações, desde a geolocalização de fotos até o rastreamento de indivíduos específicos. Também é misturado com outras técnicas de inteligência, como Inteligência Humana (HUMINT), Inteligência Geoespacial (GEOINT) ou, claro, Inteligência Cibernética (CYBINT). Graças a pequenas pistas deixadas em fotos ou por agentes de ameaças, é possível coletar muitas informações, juntá-las e ver a imagem inteira para tirar conclusões finais.

Além disso, o OSINT é útil para as unidades de crimes cibernéticos rastrearem criminosos e para as agências de inteligência obterem conhecimento sobre as capacidades dos adversários, tanto no mundo real quanto no cibernético. Conhecendo os eventos da Ucrânia, Irã e Arábia Saudita, é importante estar ciente dos danos potenciais que podem ser causados ​​à infraestrutura crítica do país. Em caso de conflito, os dispositivos diretamente expostos à Internet podem ser hackeados e os danos podem ser causados ​​de várias formas.

A Agência Central de Inteligência (CIA) destaca cinco campos OSINT principais:

• A Internet — para esta pesquisa usei mais do que informações na Web. Tenho dispositivos ICS diretamente conectados e expostos à Internet;
• Meios de comunicação de massa tradicionais;
• Fotos — Principalmente de serviços de mídia social e outras fontes como o Google Street View, que também foi usado na pesquisa;
• Conferências — Onde as pessoas compartilham suas ideias e informações; também inclui revistas especializadas e estudos de think tanks;
• Informação geoespacial — consiste em mapas e produtos de imagens comerciais. Isso envolve a verificação da geolocalização e o rastreamento do prédio mais próximo que pode estar vinculado ao dispositivo;

Nesta pesquisa, no entanto, foi usado o OSINT para visualizar e coletar geolocalização e informações técnicas sobre cerca de 26.000 dispositivos ICS expostos nos Estados Unidos.

Infraestrutura Crítica

É difícil determinar claramente o que é ‘infraestrutura crítica’ e o que não é. Em geral, são setores e ativos considerados essenciais para a sociedade e economia nacional, e sua destruição ou incapacitação impactaria os setores de segurança nacional, saúde, energia ou água. Portanto, todos os edifícios e propriedades responsáveis ​​por operar em um dos 16 setores, caracterizados pelo Departamento de Segurança Interna (DHS), devem ser tratados como infraestrutura crítica e devem ter controles e mecanismos de segurança adequados implementados.

Para melhor visualização, um estacionamento próximo ao shopping pode utilizar dispositivos do Sistema de Controle Industrial, mas não será considerado infraestrutura crítica. Em contraste com, por exemplo, qualquer usina de energia – que se hackeada e comprometida pode deixar muitas pessoas e empresas sem energia – conta como infraestrutura crítica.

O DHS menciona 16 setores críticos de infraestrutura:

• Produtos químicos — incluindo instalações químicas, fabricação de produtos farmacêuticos ou especialidades químicas/agrícolas;
• Instalações comerciais — locais que reúnem grandes multidões — estádios, shopping centers, cassinos, parques de diversões, zoológicos ou hotéis;
• Comunicação — fornece conectividade em outras infraestruturas críticas e inclui transmissões sem fio, terrestres e via satélite;
• Transporte — é responsável pelo transporte de grandes quantidades de pessoas ou mercadorias para diversos locais de diversas formas. Exemplos podem ser ferrovias ou aeroportos;
• Fabricação — envolve a fabricação de diferentes indústrias: metais primários, máquinas, equipamentos elétricos e equipamentos de transporte. O setor manufatureiro garante a prosperidade econômica e a continuidade de um país;
• Barragens — protege contra inundações e presta serviços de retenção e controle de água;
• Base Industrial de Defesa — todas as instalações que fabricam, projetam ou entregam armas militares contam como infraestrutura crítica. Além disso, indústrias que fornecem pesquisa e desenvolvimento – empreiteiras do governo também estão nesse campo. É um dos setores mais importantes da defesa, pois sem ela seria impossível mobilizar, desdobrar e sustentar as operações militares;
• Emergência — este setor é o núcleo da vida de uma sociedade. Inclui serviços de polícia e bombeiros, obras públicas e serviços de emergência médica. Outros serviços que operam neste setor são equipes SWAT, equipes de busca e salvamento, centros de fusão, unidades caninas e centrais de atendimento 911;
• Energia — fornece eletricidade em cidades e empresas. Sem um fornecimento estável de energia, o restante da infraestrutura crítica do país também pode estar em perigo. Também é necessário para as atividades do dia a dia de todos;
• Financeiras — seguradoras, instituições depositárias e organizações financeiras;
• Alimentos e Agricultura — é altamente dependente dos setores de energia, química, resíduos e transporte. Composto por fazendas, restaurantes e fabricação de alimentos;
• Instalações do governo — todos os edifícios que são de propriedade do estado ou arrendados pelo estado. As instalações mais críticas neste setor são instalações militares, laboratórios nacionais, tribunais ou embaixadas. Além disso, elementos cibernéticos como sistemas de controle de acesso e sistemas de circuito fechado de televisão também estão incluídos aqui. Possui também um subsetor de equipamentos de educação, que abrange escolas e instituições de ensino superior. A infraestrutura eleitoral responsável pela proteção de ativos como instalações de armazenamento e locais de votação também é um subsetor do setor de instalações do governo;
• Saúde e Saúde Pública — protege outros setores de desastres naturais/causados ​​pelo homem ou doenças infecciosas;
• Tecnologia da informação — concentra-se principalmente no fornecimento de hardware, software e tecnologia da informação e, em conjunto com o setor de comunicação, fornece a Internet;
• Reatores nucleares, Materiais e Resíduos — inclui reatores de potência, reatores de pesquisa e teste ou instalações de ciclo de combustível nuclear;
• Sistemas de Água e Esgotos — assegurar o abastecimento de água potável e tratamento de águas residuais;

OSINT e Infraestrutura Crítica

Conhecendo os fundamentos do OSINT e os setores críticos de infraestrutura, podemos combinar essas duas coisas para reunir informações sobre os ativos críticos de um país. A coleta dessas informações é importante para entender o potencial cibernético e as fraquezas de um adversário, e isso é feito como a primeira etapa de todo ataque cibernético.

O OSINT para infraestrutura crítica é usado principalmente por serviços de inteligência para espionagem e possíveis interrupções durante a guerra ou apenas para mostrar sua própria força cibernética. Grupos criminosos também estão interessados ​​em comprometer os setores críticos de um país, mas principalmente para ganho monetário – eles usam o OSINT para reconhecimento, a fim de desenvolver e vender malware para ICS ou negociar credenciais roubadas. Outros grupos que podem ter como alvo dispositivos ICS críticos e usar OSINT são terroristas, cujo objetivo é enfraquecer a economia, diminuir a moral pública e ameaçar a segurança nacional. Também conto dentro deste grupo por causa de seu amplo conhecimento sobre infraestrutura já implementada. Eles podem não ter acesso a todos os lugares, mas conhecem a rede e a tecnologia que é utilizada, por exemplo, em usinas de energia.

A partir de dados de código aberto, podemos coletar muitas informações sobre edifícios específicos de infraestrutura crítica. Pode ser geolocalização com precisão para um edifício ou cidade específica. Isso permite coletar mais informações de vigilância física, fotos de mídia social, Google Maps ou Street View.

Procurando vulnerabilidades ou pontos de entrada em um dos elementos da infraestrutura crítica, não devemos nos esquecer da equipe que trabalha lá. O reconhecimento adequado permite que você recrute pessoas de dentro, plante seu próprio espião, mas também é importante para o spear phishing.

Vale lembrar que o OSINT está coletando dados passivamente sem que o alvo saiba que está sendo investigado. A porta para o reconhecimento ativo se abre quando você tem os detalhes técnicos dos dispositivos, incluindo:

• Endereço IP/nome do host — para escanear ativos próximos ou portas incomuns;
• Tecnologia — permite encontrar ou pesquisar vulnerabilidades para um determinado sistema. Por exemplo, sabendo que o alvo usa principalmente o Niagara Fox, não gastaremos muito para encontrar novas explorações para os produtos da Codesys;
• Portas — outras portas abertas em um dispositivo podem fornecer um ponto de entrada para invasores. Servidores Apache obsoletos e vulneráveis ​​podem ser usados ​​para se aprofundar na rede;
• Resposta de um dispositivo — fornece muitos dados úteis e detalhados sobre o dispositivo em execução. Também é super útil para estabelecer uma localização real do prédio em que o dispositivo opera. Durante a instalação, os técnicos costumam colocar o nome da rua, prédio, localização exata, número de telefone ou outras informações confidenciais na descrição.

Campos de exemplo de dispositivos BACnet:

• ID do fornecedor
• Número de fornecedor
• Identificador de objeto
• Revisão de Firmware
• Revisão do software aplicativo
• Nome do Objeto
• Nome do modelo
• Descrição
• Localização
• Tabela de distribuição de transmissão (BDT)
• Tabela de dispositivos externos (FDT)

Campos de exemplo para Niagara Fox:

• Versão Fox
• nome de anfitrião
• Endereço do host
• Nome da Aplicação
• Versão do aplicativo
• Nome da estação
• Nome da VM
• Versão da VM
• Nome do sistema operacional
• Fuso horário
• ID do host
• VM UUID
• ID da marca

Exemplo de resposta bruta real de um dispositivo Niagara Fox:

fox a 0 -1 fox olá\n{\nfox.version=s:1.0.1\nid=i:255149\nhostName=s:192.168.1.11\nhostAddress=s:192.168.1.11\napp.name=s:Estação \napp.version=s:3.8.311\nvm.name=s:Java HotSpot(TM) Embedded Client VM\nvm.version=s:25.141-b06\nos.name=s:QNX\nos.version=s: 6.5.0\nstation.name=s:Guadelupe_Jail\nlang=s:pt\ntimeZone=s:America/Chicago;-21600000;3600000;02:00:00.000,wall,march,8,on or after,domingo,indefinido ;02:00:00.000,parede,1 de novembro,1,em ou após,domingo,indefinido\nhostId=s:Qnx-JVLN-0000–05A1–7B93\nvmUuid=s:11e98b97-b656–1c50–0000–00000000bafd\nbrandId =s:vykon\nsysInfo=o:bog 61[<bog version=”1.0″>\n<pm=”b=baja” t=”b:Facets” v=””/>\n</bog>\ n]\nauthAgentTypeSpecs=s:fox:FoxUsernamePasswordAuthAgent\n};;\nfox a 1 -1 fox rejeitado\n{\n};;\n

Coletando Dados

Como dito anteriormente, esta pesquisa é baseada apenas em dados coletados de forma passiva. Existem dois serviços que usei, Shodan e BinaryEdge, e ambos permitem que os usuários pesquisem na Internet por dispositivos conectados, incluindo ICS. Graças aos filtros adicionais, você pode encontrar o que lhe interessa ou restringir sua pesquisa a um país, produto ou versão específica.

Ao contrário do Shodan, o BinaryEdge fornece consultas prontas para uso para filtrar todos os dispositivos ICS possíveis, mas não suporta geolocalização. Para usar esta solução, é preciso ter seu próprio banco de dados de geolocalização IP e usá-lo em endereços IP coletados. Bancos de dados gratuitos não são muito precisos, mas o melhor disponível é o Maxmind. Shodan, por outro lado, fornece dados de geolocalização para o dispositivo diretamente da API e nenhuma verificação adicional precisa ser aplicada. No entanto, para usar tags e listar todos os dispositivos ICS (como o BinaryEdge faz), é necessário ter acesso “corporativo”, o que é caro.

A lista de dispositivos pesquisados ​​é a mesma da pesquisa anterior:

• • Modbus
  • Siemens S7
  • Trídio
  • Elétrica geral
  • BACnet
  • IP HART
  • Omron
  • Mitsubishi Electric
  • DNP3
  • Ethernet/IP
  • PCWorx
  • Leão vermelho
  • Codesys
  • IEC 60870–5–104
  • ProConOS

Para procurar ativamente por dispositivos expostos nos EUA, é preciso escanear 1.573.564.566 endereços IP, categorizá-los, localizá-los geograficamente e colocá-los em um mapa. Não é impossível conhecer as portas padrão dos dispositivos ICS e a resposta que eles retornam. Para conseguir isso, é melhor usar o masscan ou uma ferramenta semelhante, com expressões regulares correspondentes à resposta. A lista completa de nmap regex pode ser encontrada aqui: https://svn.nmap.org/nmap/nmap-service-probes.

Expressão regular para detecção de um dispositivo Niagara Fox:

match niagara-fox m|^fox a 0 -1 fox olá\n\{\nfox\.version=s:([\d.]+)\nid=i:\d+.*\napp\.name=s :Estação\napp\.version=s:([\d.]+)\n|sp/Tridium Niagara/ v/$2/ i/fox versão $1/ cpe:/a:tridium:niagara:$2/

Expressão regular para detecção de um servidor de gerenciamento Allen-Bradley:

match http m|^HTTP/1\.0 200 OK \r\nServidor: AB WWW/([\d.]+)\r\n.*<img src=\”/images/rockcolor\.gif|sp /Allen-Bradley WWW httpd/ v/$1/ i/Rockwell Automation Processador Ethernet http config/

Além disso, para obter mais detalhes, são necessários os scripts Nmap Scripting Engine (NSE). Eles enviam a carga adequada para obter uma especificação do dispositivo em troca.

A varredura ativa não é furtiva e requer mais esforço do que a coleta passiva, mas, na minha opinião, os resultados seriam muito semelhantes.

Kamerka

A primeira versão do Kamerka permitia a visualização simples das câmeras de um determinado local. Com base nisso, mostra os ativos que podem não estar no netblock de uma empresa, mas operam nas proximidades ou no prédio de sua propriedade, portanto, pertencem a ela. Também pode ser usado para espionagem, hackeando câmeras ou encontrando câmeras sem autenticação. Ao criar isso, queria destacar a questão das câmeras voltadas para a Internet perto de edifícios com alto valor militar ou comercial.

Claro, o mundo IoT consiste em mais dispositivos do que apenas câmeras, então a segunda versão do Kamerka também abrange impressoras, Message Query Telemetry Protocol (MQTT) e Real-Time Streaming Protocol (RTSP). Tudo isso pode ser abusado se não for devidamente protegido. Além disso, alguns dos protocolos, como o MQTT, são frequentemente usados ​​em infraestruturas críticas como sensores inteligentes que processam dados de medição confidenciais de uma instalação.

Exemplo de dispositivos de Internet das Coisas Industrial (IIoT) em execução em uma usina de Nova York:

Na última versão do Kamerka, você pode escanear um país em busca de dispositivos ICS e colocar os resultados em um mapa com todos os detalhes, incluindo quem possui um endereço IP específico. Da última vez, a Polônia e a Suíça foram mostradas como exemplo, mas para esta pesquisa obtive 26 mil dispositivos expostos nos EUA. Tive que ajustar um pouco o script para reunir uma quantidade maior de dados do que o normal e colocá-los no Elasticsearch para facilitar o gerenciamento. O mapa fica borrado com todos os dispositivos exibidos ao mesmo tempo, mas com as informações armazenadas, é possível criar diferentes mapas com base em consultas específicas.

Dispositivos com porta 5900 (Virtual Network Computing) aberta:

Dispositivos com porta 789 para controles Red Lion abertos:

Estatisticas

Antes de partirmos para a geolocalização e identificação, vou apresentar algumas estatísticas.

Organizações mais afetadas:

Cidades mais afetadas:

Portas abertas:

As 5 principais portas ICS:

1911
47808
4911
502
44818

Top 5 outras portas:

80
443
8080
8443
22

Descobertas

Como visto acima, muitos dispositivos possuem um painel de gerenciamento exposto na porta 80, 443 ou 8080. É conveniente para os técnicos remotos gerenciar dispositivos sem vir fisicamente ao local. No entanto, do ponto de vista da segurança, aspectos adicionais devem ser aplicados a esta solução. Senhas padrão ou fracas são a coisa mais comum e irresponsável que pode acontecer a um dispositivo, não importa se são dispositivos ICS ou IoT.

OSINT também trata da leitura de documentação e guias de sistemas para obter informações sobre como algo funciona e quais recursos podem ser usados ​​para obter mais informações ou acesso total.

A lista completa de credenciais padrão conhecidas foi publicada.

Existem muitos painéis operando na porta não segura 80 ou 8080.

Além disso, você pode obter outra dica valiosa nos painéis de login. Alguns deles incluem, além do nome do local, uma foto da organização ou instalação. Graças a isso, é possível restringir os resultados a uma marca específica.

Alguns dos dispositivos expõem sua configuração de rede, informações de diagnóstico, estatísticas ou configurações sem a necessidade de autenticação. Esse é outro indicador, que ajuda a obter uma visão completa da infraestrutura em execução.

As informações expostas podem ser úteis se alguém estabelecer acesso à rede e procurar possíveis dispositivos ICS. Inclui endereço IP, máscara de sub-rede, endereço de gateway ou servidores de nomes. Em diversas ocasiões presenciei a utilização de um sistema de DNS externo, que abre portas para diversos tipos de ataques.

Também não é a melhor ideia executar o VNC sem autenticação em dispositivos ICS. É apenas algo que não deveria acontecer e é um erro claro ou falta de conhecimento de sua própria infraestrutura. Do ponto de vista do adversário, é uma vitória fácil — ele pode obter acesso sem autenticação e obter controle sobre o dispositivo. Claro, não vamos chamar isso de comprometer toda a instalação, mas é um bom começo com certeza. Todo VNC opera como uma Interface Homem-Máquina (HMI) na porta 5900.

O VNC não é a única maneira pela qual os dispositivos podem ser expostos; a porta 80 em dispositivos de fabricantes específicos retorna uma HMI sem autenticação. Alguns dos sites exigem login para interação, mas nem sempre é necessário.

Como você pode notar, há outro indicador para determinar conexões e geolocalizar um prédio ou instalação. A própria HMI revela o uso do dispositivo, por isso é fácil reconhecer se é um lava-rápido ou um dispositivo em uma estação de tratamento de águas residuais. A tecnologia e as marcas exibidas na tela também nos dizem muito sobre as especificações e como um dispositivo pode ser usado.

Geolocalização

Para visar apenas a infraestrutura crítica, é preciso excluir dispositivos sem significado estratégico. Por exemplo, dispositivos que gerenciam uma fonte no parque, que pode estar exposta, mas não há lucro em comprometê-la e com certeza não é uma infraestrutura crítica para ninguém.

Então, como encontrar dispositivos e edifícios responsáveis ​​por infraestrutura crítica? Você pode usar o mapa gerado e verificar cada dispositivo nas proximidades de locais de interesse, como cidades ou prédios do governo. O segundo método envolve executar uma pesquisa reversa e procurar artefatos de dispositivos, ou seja, nome da estação, descrição ou localização. Como mencionado anteriormente, Niagara Fox e BACnet às vezes revelam mais dados do que deveriam, incluindo nome da rua, localização ou nome da instalação. Mesclá-lo com outros indicadores pode permitir que você encontre o edifício adequado. A geolocalização IP nem sempre é precisa — não aponta para o local exato, mas pode mostrar com precisão a cidade e, às vezes, pode mostrar a rua onde o dispositivo pode estar localizado.

Para provar as minhas palavras, vou apresentar alguns casos em que a informação que recolhi me permitiu encontrar um edifício com significado estratégico para o país ou para uma cidade.

Setor de Sistemas de Água e Esgoto

Você já sabe que tipo de setores devem ser protegidos com especial cuidado e um deles é o setor de sistemas de água e esgoto. Quando interrompido, a água potável não poderia mais estar disponível, causando problemas para as empresas e para a sociedade.

Nesse caso, o nome da instalação é divulgado no campo “station.name” do dispositivo Niagara Fox.

A geolocalização IP aponta para 14 Summer Street em Burlington, Vermont, que fica a 2,4 km da estação de tratamento de águas residuais mais próxima.

Com essas informações, o próximo passo seria preparar a vigilância física e a coleta ativa de inteligência, escaneando o ativo e procurando mais informações na rede.

Setor Químico

Quando você gerencia muitas estações, precisa saber com o que está conectado. Este exemplo mostra que o conforto é inimigo da segurança. A localização do terreno fica exposta no aparelho e mesmo sem a devida geolocalização é possível obter a localização do prédio.

“Nome da estação” contém informações sobre o local (Pearl River), estado (Nova York) e nome da organização (Pfizer).

Em seu site oficial, podemos saber que é um dos nove principais sites de Pesquisa e Desenvolvimento da Pfizer.

Setor de Saúde

Os dispositivos em todos os hospitais são muito frágeis e a interrupção dos serviços pode levar ao reagendamento das operações do paciente ou pode causar problemas de saúde irreparáveis, incluindo a morte. Essas instalações devem ter controles especiais de segurança implementados e não devem permitir conexões remotas. Um dos exemplos de configuração incorreta para o setor de saúde é o Piedmont Hospital. Nesse caso, a localização exata é exposta — rua, cidade e estado.

Este também é um bom exemplo para testar os recursos de geolocalização — conhecendo a localização exata do dispositivo, podemos ver se a geolocalização do IP é precisa.

Nesse caso, está a 3,5 milhas de distância do alvo — 2151 West Spring Street.

Em alguns casos, você pode obter uma visão interna do prédio em sites oficiais. Todos os andares e salas são cobertos, incluindo salas de conferência, armazenamento e operações da fábrica. É outro indicador que mostra que é possível obter inteligência precisa. Você pode ver como seria valioso ter conhecimento interno da instalação. Alguém pode se conectar ao dispositivo e causar estragos, mas é claro que também depende do uso real do dispositivo.

Setor de Energia

O setor de energia é muito específico devido à alta dependência de outros setores, como manufatura ou instalações governamentais. Sem um fornecimento de energia estável, as sociedades e os negócios não podem funcionar adequadamente. Com base em ataques cibernéticos anteriores, é um dos setores mais visados ​​– pudemos ver os ataques à rede elétrica da Ucrânia que causaram interrupções por algumas horas e paralisaram cidades inteiras.

Às vezes acontece que a geolocalização do IP não pode ser definida — apenas aponta para o centro do país. Se não houver indicadores adicionais, é impossível encontrar o local.

“Station name” fornece claramente o nome da instalação e provavelmente a função do dispositivo, “Core”.

Há uma famosa usina de energia em Winston-Salem que foi reformada recentemente e recebe muitos eventos.

Setor de Base Industrial de Manufatura/Defesa

Existem muitos contratados do governo que trabalham com materiais classificados, fabricam equipamentos ou cooperam de outras maneiras que podem resultar em uma ameaça à segurança nacional se seus sistemas forem expostos.

Definida a geolocalização, basta ter o nome da empresa para encontrar uma facilidade.

A geolocalização aponta para Clarks Summit, Pensilvânia. A instalação da Lockheed Martin mais próxima fica a 18 km de distância.

Em seu site oficial, podemos obter informações sobre essa instalação específica e seu papel.

Para comparar as descobertas do Google Maps com uma visão real, podemos acessar o site oficial da Lockheed Martin e encontrar o prédio.

Para constar, relatei as descobertas acima mencionadas às organizações adequadas, mas não obtive resposta alguma.

 

Resumo

Manter infraestrutura crítica e dispositivos ICS não é uma tarefa fácil, mesmo para engenheiros de rede experientes, e erros acontecem o tempo todo. Quando a infraestrutura é construída sem pensar na segurança, você a expõe a ataques cibernéticos e espionagem, especialmente quando opera em qualquer um dos setores críticos. Qualquer ataque cibernético às instalações pode causar indignação, perda de dinheiro para empresas ou até mesmo a morte de pessoas, e é importante ter em mente que esses setores dependem uns dos outros e são necessários para o dia a dia de todos.

Eu diferencio quatro razões pelas quais existem tantos dispositivos ICS expostos à internet:

• Alguns deles são honeypots para rastrear agentes de ameaças — Os pesquisadores montam armadilhas imitando a infraestrutura do ICS para ver quem está perseguindo esses tipos de dispositivos e quais são as táticas, técnicas e procedimentos (TTPs) usados ​​durante o reconhecimento e o ataque. Um dos exemplos de honeypots ICS/SCADA é o Conpot;
• Conforto para os técnicos — empresas envolvidas na instalação de dispositivos ICS geralmente permitem conexões remotas para que um técnico não precise ser chamado no local toda vez que uma alteração de configuração for necessária;
• Configuração incorreta — erros acontecem com todos e configurações incorretas de firewall podem ser um dos culpados pela exposição de um dispositivo. No entanto, é importante rastrear esses erros e reagir adequadamente a tempo;
• Dinheiro – está ligado a um motivo anterior, conforto. Cada visita do técnico custaria dinheiro adicional se eles precisassem visitar fisicamente a instalação. As organizações querem economizar o máximo de dinheiro possível em tudo e, geralmente, em segurança.
• Infelizmente, você não pode prever tudo, mas pode agir proativamente para combater qualquer tipo de configuração incorreta que possa revelar informações sobre uma instalação ou dispositivos. É claro que, quando um dispositivo é exposto à Internet, ele fica aberto a diferentes tipos de ataques, desde script kiddies até atores experientes do estado-nação.

Mas existem alguns métodos que podem ajudar você a manter sua infraestrutura em ordem:

• Implementando um programa de classificação de informações — quais detalhes podem ser usados ​​por agentes de ameaças para espionagem ou reconhecimento? Esses dados devem ter acesso restrito e não estar disponíveis ao público;
• Manutenção de um inventário detalhado — mantenha registros das mudanças em seu ambiente e tente entender possíveis vetores de ataque externo;
• Monitoramento ativo — monitore dispositivos de segurança de rede de perímetro e utilize técnicas de reconhecimento ativo, como varredura de portas;
• Use ferramentas gratuitas e de código aberto — use ferramentas como BinaryEdge.io ou Shodan para detectar dispositivos expostos que possam pertencer a você. Foco na localização e portas específicas do ICS;
• Use a coleta de inteligência de código aberto — reúna o máximo de informações que um invasor usaria para atacar sua infraestrutura. Dados de geolocalização, detalhes do dispositivo ou dados pessoais são valiosos para os agentes de ameaças. Tente entender o que pode ser usado contra você de alguma forma para comprometer a instalação.

Conclusão

Apresentei apenas 5 exemplos de 26.000 dispositivos que poderiam fazer parte da infraestrutura crítica. Essas instalações fornecem equipamentos ou serviços que garantem a continuidade de um país e desempenham um papel importante para a sociedade. No caso de indústrias comerciais, é seu próprio papel proteger suas redes, mas se se trata de infraestrutura crítica, é do interesse do público mantê-la segura.

Um foco especial deve ser aplicado utilizando métodos de coleta de informações na infraestrutura crítica de seu próprio país para saber quais informações podem ser coletadas por agentes de ameaças. Além disso, o método apresentado permite obter dados sobre o potencial e as capacidades cibernéticas do adversário, bem como a posição estratégica da infraestrutura crítica.

Referências e Leitura Adicional

https://www.cia.gov/news-information/featured-story-archive/2010-featured-story-archive/open-source-intelligence.html
https://www.dhs.gov/cisa/critical-infrastructure -sectors
https://www.boozallen.com/content/dam/boozallen/documents/2016/09/ukraine-report-when-the-lights-went-out.pdf.
https://dragos.com/wp-content/uploads/CrashOverride-01.pdf
https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

*Esta postagem foi editada pela SecurityWeek para maior clareza

 

Fonte: SecurityWeek