En los últimos años se han detectado multitud de ciberataques a sistemas ICS e infraestructuras críticas, estas últimas objetivo de cibercriminales y hacktivistas, por lo que ello supone. Un ataque masivo y coordinado a alguno o varios de estos sectores establece una condición importante y crítica para una nación, pues se pone en juego la estabilidad de la misma.
Detrás de la mayoría de estos ciberataques a ICS suele haber una amenaza persistente avanzada - APT (Advanced Persistent Threat). Se trata de elaborados ciberataques que se extienden en el tiempo (es decir, no es un ataque puntual que dura solo unas horas o días).Los medios empleados en estos ciberataques son cada vez más sofisticados y avanzados, y las previsiones son que este tipo de ataques vaya en aumento en los próximos años, lo que pone de relieve la necesidad de contar con soluciones para proteger los sistemas críticos.
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo de ciberataques
1. Informe elaborado por ITS Security. Copyright 2018.
Sistemas de Control Industrial (ICS )
Principal objetivo de los ciberataques
2. Durante los últimos años, cada vez más frecuentemente oímos hablar
sobre incidentes de ciberseguridad en sistemas de control industrial (ICS
por sus siglas en inglés). Por desgracia, el problema no solo reside en los
ataques dirigidos contra el sector industrial (como BlackEnergy), sino
también en las ciber amenazas habituales que no tienen víctimas
específicas. Un ejemplo de esto lo encontramos en el ransomware
WannaCry, que, en su origen, no fue diseñado específicamente para
infectar sistemas de control industrial, pero que consiguió infiltrarse en
varias redes ICS, causando una inactividad en los procesos industriales.
Sea como fuere, en los últimos años se han detectado multitud de
ciberataques a sistemas ICS e infraestructuras críticas, estas últimas objetivo
de cibercriminales y hacktivistas, por lo que ello supone. Un ataque masivo
y coordinado a alguno o varios de estos sectores establece una condición
importante y crítica para una nación, pues se pone en juego la estabilidad
de la misma.
www.its-security.es
Infraestructuras críticas y
ciberseguridad Industrial:
principales conceptos
ICS – Industrial
Control Systems
¿Qué son?
3. El Plan Nacional de Protección de Infraestructuras Críticas las define como:
“Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de
la información cuya interrupción o destrucción tendría un impacto mayor
en la salud, la seguridad o el bienestar económico de los ciudadanos o en el
eficaz funcionamiento de las instituciones del Estado y de las
Administraciones Públicas“. Son infraestructuras críticas las siguientes:
Administración; Instalaciones del Espacio; Industria Química y Nuclear;
Agua; Centrales y Redes de energía; Tecnologías de la Información y las
Comunicaciones (TIC); Transportes; Alimentación; Sistema Financiero y
Tributario.
Detrás de la mayoría de estos ciberataques a ICS suele haber una amenaza
persistente avanzada - APT (Advanced Persistent Threat). Se trata de
elaborados ciberataques que se extienden en el tiempo (es decir, no es un
ataque puntual que dura solo unas horas o días).Los medios empleados en
estos ciberataques son cada vez más sofisticados y avanzados, y las
previsiones son que este tipo de ataques vaya en aumento en los próximos
años, lo que pone de relieve la necesidad de contar con soluciones para
proteger los sistemas críticos.
www.its-security.es
ICS – Industrial
Control Systems
¿Qué son?
4.
5. Hace casi una década, en el año 2009, fue perpetrado uno
de los primeros ataques que recordamos: Night Dragon.
Tenía como objetivo compañías petroquímicas, de gas y petróleo, y
se encontraba enmarcado dentro de la denominada ‘Operación
Aurora’. Su objetivo: espionaje y robo de información sensible para
su posterior venta.
El vector de ataque fue comprometer diferentes sitios webs
públicos (Public-facing Web Servers), mediante inyección de
comandos SQL (SQL-injection), para instalar malware.
Posteriormente, esos servidores comprometidos se utilizaban
como pivote para atacar la red interna. Al mismo tiempo tuvo lugar
una campaña de spear-phishing contra usuarios concretos para
obtener credenciales de acceso a redes privadas (VPN). Buscaba
colarse en los ordenadores del equipo directivo para obtener
información confidencial.
En definitiva 'Night Dragon' no es una sola pieza de malware, ni un
solo ataque. Más bien, es una serie de ataques con características
y objetivos similares.
www.its-security.es
2009
NIGHT
DRAGON
6. Stuxnet, considerado el primer arma de la ciberguerra.
Un año más tarde, el famoso malware Stuxnet fue detectado por
Kaspersky, un malware que había infectado la central nuclear
Natanz, en Irán.
Es considerada el primer arma de la ciberguerra cuyo propósito no
era otro que el de retrasar el programa nuclear iraní.
El "gusano" tomó el control de 1.000 máquinas que participaban
en la producción de materiales nucleares y les dio instrucciones de
autodestruirse. En este caso el vector de ataque fueron las
memorias USB, que se aprovechaba de varias vulnerabilidades de
tipo 0-day del sistema operativo Windows. Una vez infectado el
sistema, modificaba diferentes parámetros de la programación del
control del PLC, del fabricante Siemens, con el fin de dejar fuera de
servicio las turbinas de la planta nuclear.
www.its-security.es
2010
STUXNET
7. En 2011 veía la luz DUQU, que según algunos expertos se
cree que fue desarrollado por los creadores de Stuxnet,
por tener una estructura interna y funcionalidad muy
similares.
Considerado como uno de los actores más hábiles, misteriosos y
poderosos del mundo APT (Advanced Persistent Threat) , su
funcionamiento era muy parecido: spear phising. En esta ocasión,
el vector de infección se aprovechaba de las carencias de
concienciación en materia de seguridad y formación del equipo
humano: se trataba de un documento ofimático adjunto a un
correo electrónico, que contenía varios exploits que se
aprovechaban de vulnerabilidades 0-day en Windows.
Su objetivo era infectar los equipos y conseguir información de los
sistemas SCADA de las empresas de Oriente Medio. Este malware
era especialmente poderoso ya que incluía algunas características
únicas e invisibles para que apenas dejase rastro: gran capacidad
de robo de credenciales y claves digitales (certificados) para
instalar módulos más complejos, con el fin de evitar la detección y
continuar con la propagación tanto por red, como usando medios
extraíbles tipo memorias USB.
www.its-security.es
2011
DUQU
8. Poco después llegó FLAME, considerado el malware más
“más sofisticado y subversivo" creado hasta la fecha.
Según los expertos fue diseñado para replicar información de
redes, incluso de alta seguridad, y controlar las funciones cotidianas
de un ordenador enviando la información a sus creadores.
Este APT tenía como misión labores de inteligencia, y según los
informes, orientado a países de oriente medio.
El objetivo era recabar información de compañías de petróleo y gas
de Oriente Medio y Europa. Una vez más, la vía de infección era
mediante spear-phishing o memorias USB.
Entre sus funcionalidades destaca la activación de webcam y
micrófonos, geolocalización de fotografías y la autopropagación vía
red local y USB.
www.its-security.es
2012
FLAME
9. SHAMOON, detectado por primera vez en 2012, es el
malware más famoso de los denominados ‘wipers’, cuyo
único propósito es el de destruir sistemas o datos.
Las distintas versiones de Wiper atacan al master boot record y las
operaciones realizadas por el core file system, dificultando la
posible recuperación del equipo. Una vez que el malware accede a
un sistema, se propaga y, en la mayoría de los casos, puede ser
muy difícil de detectar y de eliminar, lo que puede provocar una
interrupción con graves consecuencias. La capacidad destructiva
de Wiper puede variar, desde la sobrescritura de archivos
específicos hasta la destrucción de todo el sistema de archivos.
Este destructivo troyano causó daños considerables en todo el
sector energético de Oriente Próximo. Según la BBC y The Register,
infectó alrededor de 30.000 ordenadores, consiguiendo dejar fuera
de juego la red nacional de compañías petroleras de Arabia Saudita.
Poco después, la empresa de gas natural de Qatar RasGas sufrió un
ataque que dejó las redes y el sitio web sin conexión, y los sistemas
administrativos inutilizables. Malware que volvió a aparecer en
2016 volvió como Shamoon 2.0 con varias oleadas de ataques (de
nuevo en Oriente Medio).
www.its-security.es
2012
SHAMOON
10. A principios del año 2013 DragonFly ocupaba los titulares: un
grupo de ciberespionaje que apuntaba al sector de la
energía, lanzado campañas de malware contra empresas
energéticas de Estados Unidos y Europa.
El grupo Dragonfly cuenta con numerosas herramientas a su disposición
y es capaz de ejecutar múltiples ataques a través de diferentes vectores.
Fue capaz de comprometer a varios proveedores de equipos de
sistemas de control industrial (ICS) infectando su software con un
troyano de acceso remoto. Como resultado, al descargar el software
para actualizar aquellas máquinas con ICS, el software malicioso se
instaló en las compañías afectadas. Estas infecciones permitieron a los
atacantes tener acceso completo a la red de las organizaciones que eran
objetivo del ataque, y disponer de los medios para montar operaciones
de sabotaje contras las computadoras afectadas de ICS. Esta campaña
sigue la estela de Stuxnet, la primera gran campaña en atacar a sistemas
ICS. Si bien Stuxnet se concentró en el programa nuclear iraní y en
realizar sabotajes, Dragonfly puso foco en el espionaje industrial.
Además de técnicas de spear-phishing como principal vía de infección,
se usaron técnicas de watering hole comprometiendo webs de
confianza y webs de diferentes fabricantes de software industrial. De
esta forma, modificaron dichas soluciones para inyectar código
malicioso en aplicaciones legítimas. El objetivo era atacar, analizar y
obtener información, valiéndose del protocolo OPC, en las empresas
infectadas.
www.its-security.es
2013
DRAGON
FLY
11. En 2015 aparecieron BLACKENERGY y CRASHOVERRIDE, su
objetivo: el sector eléctrico
BlackEnergy, surgió en 2015 como un malware destructivo con un
componente capaz de apagar sistemas críticos, cuyo objetivo fue atacar
una planta de energía eléctrica en Ucrania. Este backdoor se utilizó para
instalar un componente KillDisk en los equipos de destino, cuya función
era impedir que arranquen. Así, el 23 de diciembre de 2015, alrededor
de 700.000 hogares de la región ucraniana Ivano-Frankivsk se quedaron
sin electricidad durante unas horas.
Durante el 2015, BlackEnergy y otra APT similar, CrashOverride, usaron
como vector de ataque un correo electrónico que contenía un
documento office malicioso como adjunto. Su objetivo: conseguir una
denegación de servicio en la industria eléctrica de Europa del Este y
Norteamérica mediante sabotaje.
En el caso de CrashOverride, el malware hacía uso de comunicaciones
industriales con remotas (RTUs), con bloqueo de puertos series en
equipos Windows. El descubrimiento de dispositivos en la red se hizo
mediante el protocolo OPC y través de un escáner de puertos.
Explotaba una vulnerabilidad que originó denegaciones de servicio en
relés de Siemens SIPROTEC (CVE-2015-5374). Para evitar ser detectado,
empleó el módulo wipe (módulo destinado a borrar partes del disco
duro, para dejarlo sin posibilidad de arranque), que permitía eliminar
registros y cualquier otro fichero generado durante la infección.
www.its-security.es
2015
BLACKENERGY
CRASHOVERRRIDE
12. En 2017, se detectó el APT Triton que, al igual que
Stuxnet, utilizó la propagación USB como principal vía de
infección.
Un fallo de diseño en dispositivos Triconex permitía tomar el control
del dispositivo por medio de este malware. Tritón iba dirigido a los
sistemas de seguridad que monitorizan las redes SCADA, y afectó a
numerosas empresas de Europa del Este
Stuxnet estaba diseñado para ejecutarse desde una red industrial,
lo que permitía al atacante observar y controlar los dispositivos
Triconex Safety Instrumented System (SIS).
Consiguió cambiar el comportamiento de determinados equipos
de protección (productos Triconex de Schneider Electric) para que
se detuviera la producción o se causaran daños mayores en la
propia instalación física en caso de fallo.
www.its-security.es
2017
TRITON
13. www.its-security.es
Principales
vectores de
ataque utilizados
en estos ataques
contra ICS
Después de hacer un recorrido por todos estos ataques perpetrados en
los últimos años, vemos que los vectores de ataque son casi siempre los
mismos:
▪ SOFTWARE MALICIOSO, descargado directamente en la
empresa o introducido por un tercero
▪ SPEAR-PHISING, a través de archivos maliciosos adjuntos en
el correo electrónico, y/o a través de páginas web maliciosas
▪ DISPOSITIVOS EXTERNOS USB infectados
▪ EMPLEADOS DESCONTENTOS que utilizan su acceso para
destruir datos, robar software propietario, obtener
información de clientes, entre otros muchos ejemplos, para
así obtener una ventaja competitiva en una nueva empresa
14. La detección de estos ataques entraña una enorme dificultad, y es que, en
muchas ocasiones, se utilizan vectores de ataque muy novedosos, que
pueden permanecer ocultos durante largos periodos de tiempo dentro de
las redes de control, evadiendo por tanto los sistemas de defensa
tradicionales.
Aplicar ciberseguridad de manera transversal a toda la organización, con
formación específica de seguridad para todos los empleados,
concienciación, así como conceptos y técnicas de seguridad como defensa
activa y threat intelligence, es clave para prevenir futuros ataques.
En cualquier caso, a continuación, nuestros expertos nos dan algunos tips
para evitar ser víctimas de estos ataques de malware; recomendaciones
simples y pueden evitar daños que pueden traducirse en pérdidas
económicas millonarias o incluso, en el cese de la actividad de nuestra
organización.
www.its-security.es
¿Cómo podemos
prevenirlos?
15. www.its-security.es
Algunas pautas de
nuestros expertos
para estar
preparados
• ACTUALIZACIÓN DE SISTEMAS y aplicación de parches de
seguridad
• CONCIENCIACIÓN a los empleados
• HERRAMIENTAS DE MONITORIZACIÓN ACTIVAS, que puedan
alertarnos de posibles ataques que busquen atentar contra
nuestra organización
• USO DE TÉCNICAS TIPO ‘HONEYPOT’ como señuelos para los
ciber atacantes
• Uso de DISPOSITIVOS DE SEGURIDAD (Firewalls, IPS, etc.)
• PREVENCIÓN ANTIMALWARE (sandboxing, reputación de IPs
o dominios, whitelisting de aplicaciones, etc.)
• CORRECTO BASTIONADO DE DISPOSITIVOS, SEGMENTACIÓN
Y CONTROL DE LOS SISTEMAS Y REDES, accesos de todas las
personas, etc., mediante los correspondientes análisis de
valoración de riesgos.
Algunas recomendaciones de nuestros expertos para mantener a nuestra
organización cibersegura frente a este tipo de ataques de malware.
16. Ponte en contacto con nuestros expertos
Desde ITS Security podemos ayudarte
www.its-security.es
marketing@its-security.es
17. ITS | GIPUZKOA (CENTRAL)
Polígono Kurutz Gain
Números 12-13
20850 Mendaro
(Gipuzkoa)
Tfn.: 902 102 655
ITS | MADRID
Parque científico de Madrid
Calle Faraday 7
28049 Cantoblanco
(Madrid)
Tfn.: 902 102 655
ITS | BIZKAIA
Parque Tecnológico de Zamudio
Laida Bidea, Edificio 205
48170 Zamudio
(Bizkaia)
Tfn.: 902 102 655
ITS | NAVARRA
Polígono la estrella
Berroa 19
31192 Tajonar
(Navarra)
Tfn.: 902 102 655
ITS | A CORUÑA
Polígono Industrial Pocomaco
(Abanca Innova)Parcela C 10
15190 A Coruña
(Galicia)
Tfn.: 902 102 655
www.its-security.es
marketing@its-security.es