Trenduri 2018: atacurile la adresa infrastructurii critice sunt într-o continuă creștere


Amenințările cibernetice la adresa infrastructurii critice au devenit titluri principale în 2017, începând cu un raport al Reuters din ianuarie, care a confirmat că o recentă întrerupere a energiei în Ucraina a fost, de fapt, „un atac cibernetic". În raportul Trends de anul trecut, menționam că ne așteptăm ca atacurile de infrastructură să "continue să ajungă în titlurile publicațiilor și să perturbe viețile noastre, în 2017". Din păcate, am avut dreptate și, din nefericire, trebuie să spun că aceeași tendință va exista și în 2018 din motivele prezentate în acest articol. Trebuie menționat că infrastructura critică înseamnă mai mult decât rețeaua de energie electrică și include sectoarele de apărare și sănătate, producția critică și producția alimentară, apa și transportul.

Sisteme oprite și repornite pe loc

Să ne uităm la modul în care au progresat lucrurile de-a lungul timpului. La sfârșitul lunii decembrie 2015, atacurile cibernetice asupra companiilor energetice ucrainene au dus la oprirea serviciului de energie electrică timp de mai multe ore pentru sute de mii de case din această parte a lumii. Primul articol publicat de cercetătorii ESET în 2016 (despre acest incident) a fost analiza troianului Black Energy a lui Anton Cherepanov, codul malițios folosit în acest atac cibernetic. Acest malware nu a manipulat direct dispozitivele Industrial Control System (ICS), dar a permis hackerilor să pătrundă în rețelele companiilor de distribuție a energiei electrice și să ucidă software-ul folosit de echipamentul ICS. Articolele de presă de atunci - unele cu titluri intrigante, ca de exemplu "Un malware stinge lumina" - nu au făcut clară această distincție.

Atacul de la sfârșitul anului 2016, raportat pentru prima dată în ianuarie 2017, a fost destul de diferit, după cum au relatat cercetătorii ESET, Anton Cherepanov și Robert Lipovský, pe blogul WeLiveSecurity. Analiza lor a descris o nouă mostră de malware capabilă să controleze direct întrerupătoarele de energie electrică și disjunctoarele, reușind în unele cazuri literalmente să le pornească și să le închidă (ceea ce poate întrerupe grav alimentarea la această scară). Ei au denumit acest malware - Industroyer și au subliniat că este cea mai mare amenințare la adresa sistemelor de control industrial de la Stuxnet încoace. Când au prezentat analiza lor despre acest malware la Black Hat SUA 2017, puteai auzi în sală și o muscă.

Implicațiile malware-ului Industroyer pentru viitorul infrastructurilor critice sunt îngrijorătoare, cel puțin așa lasă să se înțeleagă acest interviu, acordat lui Robert Lipovský. Echipamentele industriale vizate de Industroyer sunt utilizate pe scară largă (dincolo de Ucraina - de exemplu în Marea Britanie, UE și SUA - și în mai multe sectoare critice). În plus, multe dintre echipamentele ICS care încă sunt folosite astăzi nu au fost concepute să aibă conexiune la internet, făcând ca orice măsuri de protecție retroactive să fie greu de implementat.

Desigur, multe dintre organizațiile care operează în prezent infrastructură critică fac eforturi pentru a o proteja de aceste amenințări. Studiile efectuate de ESET sugerează, de asemenea, că orice atac cibernetic viitor în care se va face uz de Industroyer va trebui să fie adaptat unor obiective specifice. Acest lucru ar putea limita eventualele apariții ale unor noi atacuri la hackeri bine finanțați și ar împiedica campaniile pe scară largă ce vizează întreruperea luminii, paralizarea mijloacelor de transport sau stoparea proceselor de producție. Cu toate acestea, nu este neobișnuit ca astfel de condiții să se schimbe în timp, deoarece codul de atac devine din ce în ce mai rafinat. Cu alte cuvinte, capacitatea unora de a efectua atacuri cibernetice asupra rețelei electrice va continua să se dezvolte și în 2018, în caz că nu va fi blocată de măsuri preventive, cum ar fi actualizările de sistem, detectarea timpurie a monitorizării de rețea (network probe) și îmbunătățirea vizibilă a detectării și evitării phishingului.

Infrastructura și lanțul de distribuție

Din nefericire, simpla înlocuire a vechiului echipament ICS cu unul nou, conceput să aibă conexiune la internet, nu va îmbunătăți în mod automat securitatea. Acest lucru se datorează faptului că, așa cum subliniază Stephen Ridley, fondatorul și CTO-ul Senrio (o companie axată pe securitatea dispozitivelor conectate): dispozitivele industriale trec de la circuitele integrate de tip ASIC la circuite generice mai ieftine de tip System-on-Chip (SoC), pentru care bibliotecile de coduri sunt disponibile imediat.

Deși noua abordare aduce economii de costuri, ea vine și cu alte deficiențe în lanțul de distribuție, cum ar fi cipuri cu vulnerabilități greu accesibile și coduri reutilizate, care introduc vulnerabilități în software. Exemple din 2017 sunt Devil's Ivy găsit în peste 200 de modele diferite de camere de securitate produse de Axis Communications și vulnerabilitățile BlueBorne care au afectat câteva miliarde de dispozitive cu cele mai populare sisteme: Windows, Linux, iOS și Android. Se preconizează că mai multe astfel de exemple au fost descoperite în 2017, dar și în 2018.

Un alt tip de problemă a lanțului de distribuție a ținut capul de afiș în 2017, în parte pentru că a afectat industria de divertisment. În timp ce, fără îndoială, nu intră în categoria infrastructurii critice, acest sector a avut de învățat în 2017 câteva lecții valoroase pentru părțile cu adevărat importante ale economiei. Atât tentativa de șantaj a platformei Netflix pentru serialul TV "Orange is the new black", cât și furtul digital din ultima tranșă a francizei Pirații din Caraibe indică aspectele îngrijorătoare ale securității lanțului de distribuție.

În timp ce multe companii mari par să ia mult mai în serios securitatea cibernetică în prezent, cu ajutorul unor echipe de securitate care au nevoie atât de buget, cât și de asistență din partea nivelului executiv pentru a face o treabă bună, multe companii mai mici, furnizoare de bunuri și servicii pentru nume mai mari, se zbat încă să facă față situației. Acest lucru le face o țintă atractivă dacă, de exemplu, se întâmplă să aibă un blockbuster aflat pe sistemele lor de procesare audio postproducție, care se întâmplă să fie conectat la rețeaua lor, în interiorul căreia utilizatorii nu au fost instruiți să recunoască e-mailurile de phishing.

Anul 2017 a confirmat faptul că slăbiciunile de securitate ale acelor furnizori mai mici s-au dovedit a fi un mijloc eficient de a compromite ținte mai importante, cum ar fi marii producători de filme. După ce mai multe cazuri majore au circulat în presă, am scris un articol cu câteva sfaturi privind securitatea lanțului de distribuție, care este, de asemenea, relevant pentru organizațiile implicate în infrastructura critică. La urma urmei, ar putea fi greu pentru atacatori să atace direct rețeaua unei companii mari de utilități, dar nu este mai simplu, în schimb, să țintească asupra companiei care furnizează serviciul de administrare a acesteia?

În trecut, ne făceam griji cu privire la „atacul omului de serviciu malefic“, în care un îngrijitor cu o etică îndoielnică, dar priceput la calculatoare ar putea obține accesul neautorizat la rețea în timpul pauzei sale din tura de noapte. În timp ce o astfel de amenințare nutrebuie exclusă complet, a mai apărut și pericolul ca o firmă furnizoare de produse de curățenie cu un nivel de securitate nesigur să se conecteze la sistemele centralei electrice prin portalul unui furnizor de servicii (de exemplu), care este segregat de rețeaua ICS.

Care este implicația? Organizațiile trebuie să-și îmbunătățească în continuare securitatea în 2018, prin reducerea eficienției atacurilor de tip phishing (aflate încă printre vectorii de atac principali), separarea și controlul accesului la rețea, revizuirea și testarea componentelor hardware și softwarevechi și noi și efectuarea unui due diligence virtual în cazul furnizorilor. Aceste organizații trebuie, de asemenea, să supravegheze și să reacționeze prompt la acțiunea de investigare și monitorizare a rețelei, care ar putea anunța un atac cibernetic complet.

Stephen Cobb June 20, 2018

Lasa un comentariu