Incontroller, la amenaza inteligente
Incontroller (también conocido como Pipedream) está considerado como un conjunto de herramientas de ataque focalizadas contra los entornos ICS, con capacidad de realizar escaneos de red en búsqueda de dispositivos concretos, inicializar y establecer comunicaciones con dispositivos PLC, pudiendo interactuar con ellos para poder manipular o modificar su funcionamiento esperado.
Incontroller se asemeja o es comparable con otros malware que en su momento también afectaron gravemente al sector industrial, tales como Industroyer, que provocó cortes de energía en Ucrania; Stuxnet, en una planta nuclear, o Tritón, que se empleó para desactivar sistemas de seguridad industrial.
Estos y otros pueden consultarse en nuestro artículo ‘Amenazas en los Sistemas de Control Industrial’ o ‘Amenazas emergentes en sistemas de control industrial’, donde se recopilaron múltiples incidentes ocurridos a nivel industrial mediante malware o ataques dirigidos contra dichas organizaciones.
Herramientas utilizadas
El conjunto de herramientas de que dispone, actuando de forma coordinada, podría provocar disrupción, sabotaje e incluso destrucción física de dispositivos industriales. Esto, junto al hecho de que afecta a sistemas muy presentes en el entorno industrial, hace que aumente la preocupación de ser atacado por Incontroller.
Los tres componentes característicos principales son:
- Tagrun
- Sus capacidades principales son el escaneo y enumeración de servidores OPC UA, empleados para el reconocimiento del entorno industrial.
- Actúa como un servidor central que va recolectando información del entorno industrial, lo cual permite a los atacantes disponer de información detallada y precisa para ataques más elaborados.
- Capacidad de leer y modificar los valores en OPC UA.
- Identificación y adaptación de la herramienta en base al sistema operativo donde se encuentre instalada.
- Codecall
- Capacidad de comunicarse con los dispositivos, empleando el protocolo industrial Modbus, el cual es comúnmente empleado por muchos fabricantes en sus distintos dispositivos.
- Dicha característica también permite la interacción con los dispositivos empleando Modbus, permitiendo realizar lecturas y escrituras en los registros de los dispositivos.
- Dispone de un módulo concreto para escanear y atacar los dispositivos PLC Modicon M251 de Schneider Electric, ejecutando comandos a través de Codesys.
- Omshell
- Omshell está diseñado específicamente para obtener acceso mediante consola a los dispositivos PLC de Omron, entre los cuales se incluyen los dispositivos de la serie NJ/NX, NX1P2, R88D-1SN10F-ECT y NJ501.
- La herramienta emplea HTTP como protocolo principal, aunque también tiene la capacidad de realizar escaneos a través de UDP y de emplear el protocolo propietario FINS de Omron.
- Otra de las capacidades es que es una herramienta modular, puede emplear los módulos específicos dependiendo del entorno y dispositivos para realizar ataques más precisos.
En la siguiente ilustración se muestra la arquitectura de la herramienta Incontroller, junto con sus distintos módulos y sus características principales:
-Arquitectura de Incontroller, módulos y características.-
De forma adicional, Incontroller cuenta con dos herramientas orientadas a los entornos Windows, con el objetivo principal de poder explotar dichos entornos durante el ataque. A continuación, se muestran las dos herramientas principales:
- La herramienta denominada como ICECORE, la cual permite la creación de un backdoor con distintas funciones de reconocimiento y de mando y control.
- Otra de las herramientas explota específicamente la vulnerabilidad CVE-2020-15368, la cual afecta a la biblioteca AsrDrv103.sys en las placas base ASRock RGB Driver.
- Herramientas de Incontroller. Fuente: Mandiant . -
Casos de uso
Respecto a los posibles ataques que se podrían producir en un entorno industrial, al ser un conjunto de herramientas independientes, se podrían utilizar de forma modular dependiendo del escenario en el que se encuentre el atacante, pudiendo adaptar el uso de las herramientas según las necesidades u objetivos a perseguir con dicho ataque.
Estos serían algunos de los posibles escenarios:
- Escenario 1: reprogramación de dispositivos industriales
- El sabotaje mediante la reprogramación de los dispositivos, por ejemplo, de PLC, podría provocar alteraciones en el funcionamiento normal del proceso.
- Según los objetivos y las intenciones del atacante, los efectos podrían ser diversos, desde modificaciones notables en el proceso hasta mínimas modificaciones que degradasen a largo plazo la producción de la empresa, generando pérdidas económicas de forma silenciosa y sin llamar la atención.
- Escenario 2: destrucción o inhabilitación de dispositivos PLC
- El objetivo sería la realización de ataques basados en la modificación del código o mediante ataques de denegación de servicio, empleando las herramientas anteriormente mencionadas de Omshell o Codecall.
- Mediante la destrucción o inhabilitación de los dispositivos, se provocarían daños económicos para la organización, además de las pérdidas debidas por las paradas de producción, a causa de los posibles reemplazos por los nuevos dispositivos.
- Escenario 3: deshabilitar dispositivos Safety para provocar destrucción física
- Por último, otro de los posibles escenarios sería atacar directamente los dispositivos Safety del entorno industrial, los cuales son los encargados de proteger a nivel físico tanto a las personas como a los componentes de la planta.
- Existen diversos dispositivos Safety de Omron, que podrían verse afectados por ataques dirigidos mediante Omshell, pudiendo degradar su uso o incluso deshabilitarlos.
- Los ataques contra los dispositivos Safety también podrían provocar la parada de una parte del proceso industrial, ya que algunos dispositivos y sistemas no actúan si estos equipos no se encuentran operativos.
- Por otra parte, se podrían provocar daños físicos en el entorno industrial, incluyendo la posibilidad de daño físico al personal de la planta al deshabilitar funciones de protección, tales como barreras de seguridad, detectores de movimiento o presencia, etc.
Consejos y pautas a seguir para evitar el ataque
Una de las dificultades que trae consigo Incontroller es que, al ser una herramienta elaborada exclusivamente contra los entornos industriales, y en concreto contra ciertos dispositivos y protocolos, puede ser complicada su detección y actuación de forma temprana.
A continuación, se muestran algunas de las posibles recomendaciones o pautas a seguir para evitar o detectar de forma temprana dichos ataques:
- Uso de herramientas de detección de anomalías, IDS y reglas Yara para la identificación de comunicaciones anómalas en la red y facilitar una rápida actuación.
- Actualización de todos los dispositivos afectados y mencionados anteriormente según las recomendaciones de cada fabricante, tanto para dispositivos de Schneider Electric como Omron y Windows.
- Implementar una correcta segmentación de las redes, tanto separando a nivel IT/OT como segmentando y protegiendo las distintas redes en el entorno OT, lo cual dificultaría a un posible atacante el poder pivotar entre dispositivos y redes.
- Realizar un bastionado de los dispositivos industriales, permitiendo únicamente comunicaciones seguras en el caso de que sea posible y restringiendo comunicaciones mediante firewalls.
- Gestión centralizada y análisis de logs para la detección de evidencias en dispositivos industriales.
Conclusiones
Cada día que pasa van aumentando el número de ataques y noticias relacionadas con malware o ataques dirigidos contra entornos industriales, los cuales también heredan muchas vulnerabilidades de IT y suman la de los dispositivos OT. Todo ello conlleva una mayor sofisticación de las técnicas utilizadas.
La ciberseguridad es una cuenta pendiente y un aspecto de mejora continua que deben ir desarrollando las empresas, adquiriendo un mayor nivel de madurez en ciberseguridad, lo cual, a su vez, dificulta las acciones a los atacantes y favorece la detección y rápida actuación ante este tipo de situaciones adversas.
