Tácticas y técnicas de los malos en SCI

Fecha de publicación
09/03/2023
Autor
INCIBE (INCIBE)
Tácticas y técnicas de los malos en SCI

La integración conjunta de las Tecnologías de la Información (IT) y las Tecnologías Operativas (OT), además del crecimiento de la Industria 4.0, está generando una gran cantidad de posibilidades y beneficios en las redes industriales. Por contrapartida y debido a la importancia que están adquiriendo los ICS en infraestructuras críticas, es cada vez más común que los sistemas de control industrial estén en el foco de los atacantes.

En la siguiente ilustración, podemos observar los diferentes niveles IT / OT y las subdivisiones de las que se componen.

Arquitectura IT / OT

- Arquitectura IT / OT; Fuente-

Los sistemas OT, al igual que los IT, pueden contener vulnerabilidades aprovechables por los atacantes. Dentro de los sistemas de control industrial existen gran cantidad de dispositivos, entre ellos, las interfaceshombre-máquina (HMI), los dispositivos eléctricos y los Sistemas de Control de Supervisión y Adquisición de Datos (SCADA). Estos  dispositivos, destacan por ser los más vulnerables en un entorno ICS.

Actualmente, las vulnerabilidades más comunes en sistemas de control industrial son las siguientes:

  • CWE-121 Stack-Based Buffer Overflow: este tipo de vulnerabilidades consisten en errores en la programación que podrían permitir que el código genere una sobrecarga en el búfer y se anulen los bloques de memoria. Una validación insuficiente en los procesos de entrada puede generar un bloqueo en los programas de los SCI. En el caso de los sistemas SCADA, HMI y DCS, la explotación exitosa de esta vulnerabilidad permite que estos equipos queden expuestos ante otras formas de ataque industrial. Existen diferentes estrategias para mitigar esta vulnerabilidad, algunas son:
    • Sistemas de detección en tiempo real.
    • Técnicas de ‘Static-analysis’ para identificar vulnerabilidades de este tipo.
    • Técnicas de ‘Combined static/ run time’: combinación de las dos anteriores.

Clasificación por proveedores del CWE-121 Stack-Based Buffer Overflow

- Clasificación por proveedores del CWE-121 Stack-Based Buffer Overflow; Fuente -

  • CWE-287 Improper Authentication: mediante la autenticación, se consigue identificar al usuario en los sistemas dentro de la Red. En los sistemas de control industrial es muy común que los sistemas de autenticación sean débiles o nulos, posibilitando a los atacantes superar o eludir dichos procesos de autenticación, accediendo así al sistema libremente. Existen dos métodos básicos para reducir estos riesgos:
    • Actualizaciones continuas de las bases de datos de usuarios.
    • Incluir procesos de autenticación en todos los ámbitos.
    • Inclusión de dobles factores de autenticación.
  • CWE-522 Insufficiently Protected Credentials: es una de las vulnerabilidades más comunes en cualquier dispositivo, red o sistema de control industrial. Está relacionado directamente con el CWE-287. La utilización de contraseñas con un bajo nivel de seguridad, pocos dígitos, compartida con otras plataformas u equipos y las pocas actualizaciones, son una de las causas de vulnerabilidad más importantes en los sistemas de control industrial, permitiendo al atacante obtener el control del sistema o acceder al resto de la red. 
    Los riesgos asociados a esta vulnerabilidad se pueden reducir de la siguiente manera:
    • Política de creación de credenciales robustas, con requisitos mínimos, como la longitud, la inclusión de caracteres especiales o alternar mayúsculas y minúsculas.
    • Actualizaciones programadas y obligatorias para las contraseñas, evitando repetir una contraseña utilizada anteriormente.
  • CWE-400 Uncontrolled Resource Consumption: este tipo de vulnerabilidad es muy común en los Controladores Lógicos Programables (PLC). Consiste en modificar el funcionamiento del dispositivo, poniéndole al límite en cuanto a recursos utilizados. Comúnmente estas vulnerabilidades derivan en una parada inesperada del equipo o un reseteo y por lo tanto, la interrupción de los servicios controlados por el PLC. Esta vulnerabilidad se puede paliar mediante las siguientes técnicas:
    • Monitorización de estos dispositivos situados en la capa OT del control de procesos para detectar cualquier alteración superior al 5% del funcionamiento normal, ya que eso podría indicar un aprovechamiento de la vulnerabilidad por parte de un atacante.
    • Segmentación de los procesos para un análisis más rápido y exhaustivo en casos de aprovechamiento de la vulnerabilidad.

Estas son algunas de las vulnerabilidades más habituales en los sistemas de control industrial. A continuación, se van a detallar las tácticas y técnicas que utilizan los atacantes para aprovechar dichas vulnerabilidades. La Matriz ICS de MITRE ATT&CK recoge de forma exhaustiva los objetivos, métodos y procedimientos que realiza un atacante dependiendo de su objetivo final.

Tácticas y técnicas aplicadas en un caso real

A lo largo de este apartado, se van a explicar las tácticas y técnicas empleadas por los atacantes durante un ciberataque tipo ransomware conocido como Colonial Pipeline que fue realizado sobre un sistema de control industrial, concretamente sobre el sistema de distribución de derivados del petróleo de Colonial Pipeline, catalogada como una de las infraestructuras petrolíferas más importantes de Estados Unidos.

El incidente de seguridad fue provocado por la infección ransomware de varios activos esenciales del proceso industrial, que permitió a los atacantes detener por completo el suministro de gasóleo, fuel y gasolina hacia las empresas que dependían de este proceso.

Para tener en cuenta la magnitud del ataque y ver el impacto real, hay que destacar que Colonial Pipeline opera una red de oleoductos de aproximadamente 8500 Km, suministrando derivados del petróleo a un 45% de la costa este de EE.UU.

El ataque fue orquestado por el grupo DarkSide, conocido por su Ransomware as a Service (RaaS). La intrusión de DarkSide en los sistemas de Colonial Pipeline permitió, a mayores del bloqueo de los sistemas informáticos, el robo de más de 100 GB de datos corporativos. Esta característica de doble robo o extorsión doble es una característica muy importante de este ransomware.

Para tener un mayor conocimiento del ataque, a continuación, se presentan las tácticas Matriz ICS de MITRE ATT&CK (en color azul) y la táctica de la Matriz Enterprise de MITRE ATT&CK (en color verde) utilizadas por DarkSide para la consecución del ataque. Además, debajo de cada táctica, se presentan los diferentes ataques, software y soluciones empleadas.


Tácticas empleadas por DarkSide

-Tácticas empleadas por DarkSide: Fuente: MITRE Matrix ICS - 

Se van a proceder a explicar las cuatro tácticas más importantes y específicas utilizadas en el ataque Colonial Pipeline:

  • Initial Access: la táctica Initial Access fue empleada por DarkSide para conseguir acceso al sistema de Colonial Pipeline. Dentro de esta táctica, se emplearon las técnicas de phishing y External Remote Services. Concretamente, DarkSide utilizó el Protocolo de Escritorio Remoto (RDP). A mayores, el ataque empleó herramientas de uso común, como Metasploit y BloodHound para el reconocimiento y PowerShell para el reconocimiento y persistencia.
  • Lateral Movement y Privilege Escalation: esta fase puede considerarse una fase de descubrimiento en todo proceso del ransomware. El objetivo con esta táctica y sus correspondientes técnicas es obtener acceso al controlador de dominio (DC), también llamado Active Directory. A través de esto, DarkSide logró obtener credenciales del mismo nivel, escalar privilegios y adquirir activos valiosos para la exfiltración de datos. Una vez se tienen credenciales a nivel horizontal de casi todos los dispositivos de ese nivel, existía ya la posibilidad de implementar el ransomware en las demás máquinas.
  • Exfiltration: mediante esta táctica, los atacantes pretenden filtrar los archivos críticos antes de que se inicie el ransomware. Las técnicas utilizadas pueden ir desde Exfiltration Over Alternative Protocol, Exfiltration Over Physical Medium hasta la utilización de la técnica Data Transfer Size Limits. A mayores, y como se puede visualizar en la ‘Ilustración 3’, se usan diferentes soluciones, como puTTy, permitiendo la transferencia de archivos en red o Rclone, utilizado para filtrar archivos al almacenamiento en la nube. Este paso del ataque es de suma importancia para los defensores, ya que durante el transcurso de este procedimiento, es el momento en el que el defensor tendrá mayores probabilidades de detectar el ataque.
  • Impact: esta táctica implica la ejecución del ransomware. El uso de PowerShell es imprescindible para instalar y operar el ransomware en sí. El grupo DarkSide emplea dos métodos de cifrado dependiendo del sistema operativo de los equipos infectados. Estos cifrados suelen ser RSA-4096 en Linux o el RSA-1024 en Windows.

Tácticas y técnicas de MITRE ATT&CK empleadas

- Tácticas y técnicas de MITRE ATT&CK empleadas; Fuente: MITRE Matrix ICS- 

Conclusiones

Aunque las tácticas, técnicas y soluciones empleadas durante este ataque pueden variar en otros ciberataques, es de vital importancia para los sistemas de control industrial, disponer de toda esta información, y una vez detectado el tipo de ataque, tener conocimiento de todas las tácticas y técnicas con su debida explicación para intentar mitigar el ataque o incluso llegar a eludirlo.

En un mundo como el de los sistemas de control industrial, que está en constante evolución, la capacidad de tener toda la información sobre ataques similares o incluso idénticos en una base de datos, como es MITRE ATT&CK, puede suponer un antes y después en la defensa contra los ciberataques.

Ir arriba