1. 25 мая 2018 года
Бизнес-консультант по безопасности
Анатомия атаки
на АСУ ТП
Алексей Лукацкий
2. Проблема сознания
• Отсутствие реального опыта
защиты АСУ ТП
• Предположения о
«сложности» атак на АСУ ТП
и их особом способе по
сравнению с обычными
корпоративными атаками
• Нежелание встать на место
злоумышленника
3. Любая атака состоит из множества ходов
Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки
Приманка
Доставка Фишинг Заражение сайта Операторы связи
Проникновение Активация Исполнение кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция Троян или
backdoor
Повышение
привилегий
Руткит
Обеспечение
незаметности
Управление Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация Расширение
заражения
Утечка данных
Перехват
управления
Вывод из строя
Уничтожение
следов
Поддержка
незаметности
Зачистка логов
5. Анатомия атаки на АСУ ТП: этап 1
Доставка
Эксплойт
Инсталляция
C&C
Действие
Анализ
Расширение
плацдарма
Инсталляция
/ исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение
9. HAVEX
• Специализированный
вредоносный код,
направленный на сбор
разведывательной
информации - о
зараженной системе,
о OPC-сервисах, об
используемых
промышленных
протоколах в сети
• Данная кампания (Backdorr.Oldrea или Energetic Bear RAT) датируется концом 2010-го -
началом 2011-го года, но публично о ней заговорили только в июне 2014-го года
• С конца 2014-го года о HAVEX внезапно перестали писать
10. Как распространялся HAVEX
Фишинговое e-mail
• Вложенные
вредоносные файлы
• Открывались на
инфицированных
системах
• Ранние версии
Атака Waterhole
• Скомпрометированные
сайты
• Редиректы
посетителей
• Copy/Paste Metasploit
• Популярные Exploit Kit
на инфицированных
сайтах
• HAVEX доставлен на
зараженные узлы
Встроен в инсталляторы
или firmware
• Многие ICS-продукты
• Уязвимые
непатченные web-
сайты производителей
ICS
• Троянизированные
инсталляторы и
firmware
• Напрямую в
окружение
HAVEX не был продвинутым вредоносным кодом сам по себе. Продвинутой были планирование и
«логистика», а также стоящие перед ВПО цели – сбор разведывательной информации
11. «Матрешка» - атака на страны НАТО
• SHA256:
ffd5bd7548ab35c97841c31cf83ad2ea5ec02c741560317fc9602a49ce36a763
• Filename: NATO secretary meeting.doc
13. Шаг 1: разведка через Flash-объект
A=t&SA=t&SV=t&EV=t&MP3=t&AE=t&VE=t&ACC=f&PR=t&SP=t&SB=f&DEB=t&V=WIN%20
9%2C0%2C0%2C0&M=Adobe%20Windows&R=1600x1200&DP=72&COL=color&AR=1.0&O
S=Windows%20XP&L=en&PT=ActiveX&AVD=f&LFD=f&WD=f&IME=t&DD=f&DDP=f&DTS=f
&DTE=f&DTH=f&DTM=f
Flash в объекте ActiveX
Windows versionFlash version
14. • Если собранная на первом шаге информация полезна, то
• если нет, то атака прекращается
Шаг 2: загрузка полезной нагрузки и
эксплойта Flash
15. Шаг 3: загрузка Flash, эксплуатация дыры и
запуск
Загрузка Flash на лету
Ссылка Shellcode
16. BlackEnergy
• Направленный фишинг
• Документ Word и PowerPoint с
макросом
• Тематические рассылки на тему
нефтянки
• Использование 0Day для
Windows
• Разработка и использование
ICS эксплойт для HMI
17. Сценарий одной атаки
Злоумышленник
нашел в Facebook
оператора ночной
смены
Злоумышленник
«подружился» с
оператором
Нарушитель ищет
персональные
данные оператора
Нарушитель
использовал
социальный
инжиниринг
Оператор открывает
фейковый линк и
заражается
Нарушитель
скачивает базу
данных SAM &
подбирает пароль
Нарушитель входит
в систему, запускает
процедуру shutdown
Оператор реагирует
очень медленно (не
верит, что это с ним
происходит!)
Злоумышленник
меняет условия
работы АСУ ТП
Удаленная
площадка теряет
функцию удаленного
запуска
Удаленная
площадка остается
недоступной в
течение 3+ дней
Снижение объемов
переработки
нефтепродуктов
Посмотрите презентацию «Взлом одной из нефтяных компаний Ближнего Востока
Анализ реального случая» с ITSF 2016
19. А вы думали о безопасности Интернета
вещей?
https://www.youtube.com/watch?v=4I-QgbmWPnY
20. Анатомия атаки на АСУ ТП: этап 2
Разработка
Тестирование
Доставка
Инсталляция
Обеспечение атаки Начало атаки
Действие
Совпадение Модификация Скрытие
Доставка Вставка Усиление
Поддержка атаки
21. Проект «Аврора»
• В помещение с генератором в Idaho National
Laboratory было получено удаленное
соединение группой хакеров спонсированных
DHS.
• Было полученно управление генератором
через систему управления электропитанием.
• Перепрограммирован контроллер на вращение
(1000’s times/sec)
• Сначала повредились подшипники, далее
вышел из строя сам генератор
• Дизельный генератор ценой 1 миллион
долларов был уничтожен.
• http://www.youtube.com/watch?v=fJyWngDco3g
23. Как попасть из пункта А в пункт Б?
Определение текущих
доверенных соединений
Манипуляции окружением
Использование
административных
привилегий для установления
новых соединений
Физические элементы
USB, CD, инсайдер, устройства
24. Как попасть с 1-го этапа на 2-й
• Доверенные соединения
• Доступ от производителей
• Удаленный доступ персонала
• Резервные копии и иные задачи по репликации
• Коммуникации системного управления (патчи, мониторинг, конфигурации и др.)
• Доступ к серверам хранения исторический информации (historians)
• Доступ через dialup или Wi-Fi
• Waterholing
• Социальный инжиниринг
• Закладки в оборудование
• Флешки и иные носители информации
25. Пара типичных примеров
Хакеры получили несанкционированный доступ к
компьютерным системам водоочистных сооружений в
Харрисбурге, шт. Пенсильвания, в начале октября
2006 года. Ноутбук сотрудника была взломан через
Интернет, затем он использовался как точка входа для
доступа к административным системам и установки
вирусов, троянских и шпионских программ.
На конференции Federal Executive Leadership
Conference в Вильямсбурге, штат Вирджиния,
представитель спецслужбы подтвердил
200 представителям правительства и
промышленности, что злоумышленники вторгались в
системы нескольких организаций, составляющих
национальную инфраструктуру, и требовали выкуп,
угрожая отключить системы. Поставщики
коммунальных услуг в США не подтверждали и не
отрицали факты подобного шантажа.
27. Примеры киберинцидентов на ядерных
установках
• АЭС Sellafield, Великобритания,
1991 г.
• Игналинская АЭС, Литва, 1992 г.
• АЭС Бредвелл, Великобритания,
1999 г.
• АЭС David Besse, США, 2003 г.
• АЭС, Япония, 2005 г.
• АЭС Browns Ferry, США, 2006 г.
• АЭС Hatch, США, 2008 г.
• АЭС в Майами, США, 2008 г.
• АЭС Areva, Франция, 2011 г.
• АЭС San Onofre, США, 2012 г.
• АЭС Susquehanna, США, 2012 г.
• АЭС Monju, Япония, 2014 г.
• АЭС KHNP, Южная Корея, 2014 г.
• АЭС, Япония, 2015 г.
• АЭС, Германия, 2016 г.
• АЭС, Пакистан, 2017 г.
29. Заражение вредоносным кодом через
флешку
• Conficker (KIDO) заражение НПЗ –
неопубликовано
• Description – Cyber Assault. Вирус поразил
Windows компьютеры и продолжал
распространение. Привел к нарушению
трафика DCS контроллеров, приведшего к их
остановке
• Attack Vector – Вирус принесен на Flash USB
носителе контрактника от вендора
(предположительная причина)
• Vulnerability – Уязвимость на Windows хостах,
соединенных с DCS контроллерами
• Damage Caused – НПЗ потерял контроль над
производством на целый день. Финансовые
потери более £500,000
30. Stuxnet – направленная кибер атака
• Описание атаки - Высоко организованная и
ресурсоемкая атака на объекты иранской
ядерной программы
• Вектор атаки – Инфицированная USB Flash
подключена в Windows PC, подключенный к
производственной сети
• Уязвимость – Siemens контроллеры,
подключенные к центрифугам на иранском
заводе по обогащению урана
• Последствия – Вирус перехватил управление
контроллером и изменял скорость вращения
центрифуги заставляя изнашиваться
шестерни, приводя к дорогому и
длительному ремонту. Также нанесен
политический ущерб
Но есть и другая версия – ВПО уже находилось в промышленном оборудовании
на момент поставки
31. История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля целостности
оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
32. Объединим все вместе
• Разведка
• Выбор цели
• Создание кибероружия
• Разработка / Тестирование
• Доставка / Exploit / Скрытие
• Инсталляция
• Модификация систем
• Command and Control
• Выполнение задачи
• Анти-расследование
BRKIOT-211532