Tendencias malware en entornos industriales

Fecha de publicación 07/03/2019
Autor
INCIBE (INCIBE)
tendencia_malware

Tras el descubrimiento de Stuxnet en junio de 2010, la cantidad de información sobre malware y sus diferentes mutaciones que afectan a sistemas de control industrial no ha parado de publicarse en diferentes medios. En algunos casos, como WannaCry, debido a su relevancia y repercusión, hasta la prensa y las televisiones se hicieron eco de la noticia para alertar de los problemas de seguridad originados. Todos estos cambios a nivel global originaron un cambio en la forma de ver la ciberseguridad, tanto en el proceso de desarrollo de un proyecto, como en su planteamiento.

En el mundo industrial, donde por norma general, la seguridad va un paso por detrás respecto al de las tecnologías de la información, también se han notado una serie de cambios relacionados con las tecnologías defensivas implantadas y con la mentalidad frente al malware que existe en la actualidad. Entre estos cambios, encontramos el concepto de defensa en profundidad, que está cada vez más extendido y que pretende ser un modelo a seguir para todas las empresas, basándose en los estándares de la IEC 62443. Además, el uso de herramientas que permiten realizar un análisis pasivo de las comunicaciones, sin ser para nada soluciones agresivas dentro de los entornos industriales, proporcionan un extra en la seguridad de las comunicaciones.

 

Histórico de malware SCI

- Línea temporal de Malware en SCI -

Aunque todas estas medidas suponen una gran mejora para los entornos industriales en materia de ciberseguridad, las continuas amenazas a las que se exponen este tipo de entornos evolucionan cada día. De este proceso, pueden extraerse diferentes tendencias y características comunes que permiten tener una visión global del malware en Sistemas de Control Industrial:

  • Uso de spear phishing o watering hole. Todos los ataques detectados que han afectado a los entornos industriales contenían una parte de ingeniería social. El uso de diferentes técnicas para obtener información o engañar a una víctima para que realice ciertas acciones (abrir un adjunto de un correo, ejecutar un programa, etc.) se utiliza como vector de ataque para introducir el malware en la red de la organización industrial. Este hecho suele afectar casi siempre a la red corporativa desde la que el malware se irá propagando hasta la red industrial. A continuación, se describen las técnicas mediante malware más utilizadas que actualmente afectan a entornos industriales:
  • Spear phishing. Variante de phishing que consiste en el envío de mensajes, generalmente correos electrónicos, específicos y personalizados a un grupo de personas determinado con el objetivo de obtener información sensible o infectar la máquina utilizada por la víctima. Esta es la principal diferencia respecto al phishing tradicional por e-mail, que consiste en el envío de un mismo correo electrónico de forma masiva y al azar a millones de usuarios.
  • Watering hole. Esta técnica utilizada por los atacantes consiste en realizar un estudio del perfil u organización a atacar con el objetivo de detectar las webs más consultadas por sus víctimas. Una vez detectadas estas webs, son analizadas en busca de vulnerabilidades que poder explotar para comprometer el sitio web. Cuando ya se encuentre comprometido, los atacantes infectan los diferentes recursos existentes, introducen URLs maliciosas, etc.
  • Malware modular. Las últimas trazas de malware analizado han evidenciado el uso de esta técnica. Por ejemplo, en el caso de GreyEnergy, este malware iba cargando una serie de módulos que descargaban los equipos de las víctimas desde servidores C&C. Los módulos poseían diferentes funcionalidades en base a las necesidades que tenían los atacantes de extraer información, realizar algún tipo de modificación en el sistema o simplemente ejecutar algunas peticiones.

Módulos de GreyEnergy

- Módulos de GreyEnergy, fuente ESET -

Por su parte, el malware CrashOverride sí disponía de módulos relacionados con comunicaciones industriales:

Módulos relacionados con entornos industriales de CrashOverride

- Módulos relacionados con entornos industriales de CrashOverride -

Estos módulos, proporcionaban al malware unas capacidades a nivel de comunicaciones en SCI poco comunes y que no se habían detectado anteriormente, como Duqu, Flame, etc. Actualmente, existe otro malware detectado que, mediante el uso de comunicaciones industriales, también podría llegar a tener un impacto considerable en el mundo físico. El malware del que hablamos es TRITON/TRISIS/HATMAN, que gracias al uso del protocolo de comunicaciones TriStation, utilizado entre sistemas SIS (Sistemas Instrumentados de Seguridad) y controladores Triconex a través del puerto UDP 1502, permitía a los atacantes reprogramar los sistemas, modificar el funcionamiento de los procesos implicados, originar paradas, etc.

  • Métodos de propagación. Muchas de las familias de malware en sistemas de control aprovechan sus capacidades de malware modular para incluir funcionalidades en alguno de dichos módulos que sea capaz de realizar un escaneo de la red en busca de nuevos objetivos o víctimas similares al ya infectado. En el caso de GreyEnergy, además de realizar un escaneo de la red para descubrir estaciones de trabajo o servidores que no se apagaban de forma frecuente, se utilizaba un módulo llamado “mimikatz”, que aprovechaba la herramienta con este mismo nombre, para la recopilación de contraseñas en entornos Windows.
  • Reutilización de código. Además de compartir una serie de características como las anteriormente comentadas, las últimas trazas de malware han evidenciado la reutilización de código. En el caso de GreyEnergy, se encontró código que utilizaba Moonraker Petya.

Diferencias entre Moonraker Petya (izquierda) y GreyEnergy (derecha)

- Diferencias entre Moonraker Petya (izquierda) y GreyEnergy (derecha), fuente ESET -

  • Mecanismos para evitar detecciones. Además de las posibles acciones a ejecutar, otra de las características de las que disponía GreyEnergy, y que ha sido detectada en otro malware como CrashOverride, es el uso de módulos wipe. Este tipo de módulos permite a los atacantes borrar todas las claves de registro asociadas con servicios del sistema creados o modificados por el malware, eliminar ficheros de configuración del disco duro y las unidades de red que haya podido identificar y cortar comunicaciones con el C&C en el caso de ver peligrar la confidencialidad de las operaciones realizadas por los atacantes.
  • Métodos de persistencia (rootkits). Entre los métodos más utilizados para lograr una mayor persistencia del malware en los sistemas afectados, sus desarrolladores suelen crear entradas en el menú de inicio para la ejecución de procesos con DLL maliciosas como argumento. Por ejemplo, GreyEnergy implementaba dos modos para evadir las defensas del sistema, solo en memoria o utilizando la persistencia de DLL como servicio. El primer modo, se usa cuando los atacantes confían en que la implementación del malware no requiere ninguna persistencia (por ejemplo, servidores con mucha actividad); el segundo modo se usa cuando necesita poder resistir a cualquier reinicio.
  • Explotación de vulnerabilidades conocidas en SCI. Además de los diferentes módulos utilizados, es común que el malware desarrollado para atacar Sistemas de Control Industrial aproveche conocimientos sobre vulnerabilidades ya publicadas de las que se posee un exploit público o una PoC (Proof of Concept). Estos exploits podrían obtenerse en mercados negros o por diferentes vías. Gracias al uso de éstos, los atacantes no necesitan invertir tiempo a la hora de desarrollar código malicioso a medida y, de alguna forma, enmascaran su identidad al utilizar código que está disponible públicamente o con cierta facilidad de acceso.

Conclusiones

Tanto el aumento de concienciación, como las tecnologías que se están empezando a desplegar en los entornos industriales, proporcionan un mayor nivel de seguridad en las comunicaciones. El uso de estas soluciones no puede dar lugar a una falsa sensación de seguridad como se creía antaño, simplemente debe ser un punto inicial a la hora de implementar soluciones con el fin de no ponerle las cosas fáciles a los atacantes que quieran ejecutar acciones maliciosas sin dificultad alguna.

No se puede olvidar en ningún momento que los ataques sufridos en los entornos industriales pueden tener su impacto directo en el mundo físico, por ello, y sobre todo si hablamos de infraestructuras críticas, es importante incluir todas las medidas de seguridad posibles que estén al alcance de la organización. En multitud de ocasiones, una simple actualización o cambio de firmware podría solventar problemas que desembocarían en una infección de los dispositivos. Aunque es cierto que en ocasiones esto puede ser bastante costoso y generar grandes trastornos en la industria, la combinación de una buena segmentación y el uso de laboratorios para realizar más pruebas antes de llevar a cabo cambios en producción, se considera una buena solución temporal. ¿Estamos preparados para la nueva era de ataques en los sistemas de control? ¿Está acelerando la industria 4.0 la incorporación de inteligencia que podrían utilizar atacantes con fines maliciosos?

Etiquetas