Fecha de publicación: 18/04/2022
Importancia:
Crítica
Recursos afectados:
Múltiples dispositivos SCI/SCADA, incluyendo:
- PLC de Schneider Electric,
- OMRON Sysmac NEX PLC,
- servidores OPC UA,
- MODBUS,
- CODESYS.
Debido a la variedad de sistemas SCI/SCADA afectados, el número de industrias o potenciales afectados es muy amplio, especialmente en el sector energético.
Descripción:
Diversos organismos (DOE, CISA, NSA, y FBI) han publicado un aviso de seguridad conjunto para alertar de una amenaza APT desarrollada para atacar sistemas de control industrial y automatización (SCI/SCADA). La compañía Dragos, en su investigación sobre esta amenaza, ha utilizado el nombre PIPEDREAM, mientras que en la investigación de Mandiant se la ha denominado INCONTROLLER, desarrollada por el grupo de actividad CHERNOVITE (nombre designado por Dragos).
Este framework malicioso de SCI es modular y no explota vulnerabilidades específicas, sino que utiliza funciones estándar del protocolo CODESYS, MODBUS y OPC UA. Por tanto, las herramientas del framework se comportan como un cliente legítimo o un entorno de desarrollo para programar el controlador. El framework tiene el potencial para la interrupción, el sabotaje y potencialmente la destrucción física de las máquinas y procesos controlados, permitiendo acciones como:
- acceder a servidores OPC UA,
- enviar frames MODBUS a dispositivos,
- realizar un escaneo de la red,
- conectar a PLC,
- descargar y subir archivos, aplicaciones, configuraciones, etc.
- realizar ataques DoS.
Solución:
Esta APT no explota una vulnerabilidad específica, sino que se aprovecha de funcionalidades nativas de los sistemas SCI/SCADA afectados, por lo que no existen versiones correctoras de productos para solucionarlo. Por lo tanto, se deben aplicar las medidas de mitigación y recomendaciones detalladas en las investigaciones de Mandiant y Dragos, así como aquellas específicas que considere cada fabricante.
Mandiant también proporciona en su investigación algunas reglas de Yara para la detección de esta amenaza.
Adicionalmente, CISA recomienda las siguientes medidas de mitigación proactivas:
- Aislar los sistemas y redes SCI/SCADA de las redes corporativas e Internet utilizando fuertes controles perimetrales y limitar cualquier comunicación que entre o salga de los perímetros SCI/SCADA.
- Habilitar la autenticación multifactor para todos los accesos remotos a las redes y dispositivos SCI siempre que sea posible.
- Disponer de un plan de respuesta a los ciberincidentes y ponerlo en práctica regularmente con las partes interesadas de TI, ciberseguridad y operaciones.
- Cambiar todas las contraseñas de los dispositivos y sistemas SCI/SCADA según un calendario coherente, especialmente todas las contraseñas por defecto, por contraseñas seguras y únicas para cada dispositivo.
- Mantener copias de seguridad offline para una recuperación más rápida en caso de ataque.
- Limitar las conexiones de red de los sistemas SCI/SCADA únicamente a las workstations de gestión e ingeniería específicamente autorizadas.
- Asegurarse de que todas las aplicaciones solo se instalan cuando son necesarias para el funcionamiento.
- Aplicar el principio de mínimo privilegio.
Por su parte, Schneider Electric recomienda a sus usuarios actualizar a las últimas versiones disponibles:
- EcoStruxure Machine Expert,
- EcoStruxure Machine Expert Basic,
- el firmware de los PLC empleando las características Controller Assistant y Controller Update.
Detalle:
INCONTROLLER/PIPEDREAM es un framework modular malicioso de ataque a SCI, que un atacante podría aprovechar para causar interrupción, degradación e incluso destrucción, dependiendo de los objetivos y el entorno. En el contexto de la matriz MITRE ATT&CK para SCI, esta amenaza puede ejecutar el 38% de las técnicas de ataque conocidas para SCI y el 83% de las tácticas.
INCONTROLLER/PIPEDREAM incluye tres herramientas, que podrían permitir al atacante enviar instrucciones a los dispositivos SCI utilizando los protocolos de la red industrial:
- TAGRUN: escanea servidores OPC para realizar ataques de fuerza bruta;
- CODECALL: sus módulos escanean y atacan comunicaciones MODBUS, CODESYS y al menos 3 PLC de Schneider Electric;
- OMSHELL: interactúa y escanea PLC de Omron a través de HTTP, Telnet y el protocolo Omron FINS.
INCONTROLLER/PIPEDREAM logra un impacto de gran alcance a través de cinco componentes, que Dragos ha etiquetado como:
- EVILSCHOLAR,
- BADOMEN,
- DUSTTUNNEL,
- MOUSEHOLE,
- LAZYCARGO.
Estos componentes combinados permiten al atacante identificar un entorno industrial, infiltrarse en las workstations de ingeniería, explotar los controladores de procesos, atravesar las zonas de seguridad y procesos, desactivar los controladores y manipular la lógica y la programación ejecutadas. Todas estas capacidades podrían conducir a una pérdida de seguridad, disponibilidad y control de un entorno industrial, aumentando el tiempo de recuperación.
Dragos ha comunicado que no tiene constancia de que INCONTROLLER/PIPEDREAM haya sido empleado de manera activa para explotar vulnerabilidades.
Etiquetas:
Comunicaciones, Infraestructuras críticas, Malware, SCADA, Schneider Electric
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.