Ksenotym (ang. Xenotime) to rzadki minerał o bardzo zmiennym składzie chemicznym. Jego nazwa wywodzi się z języka greckiego i pochodzi od słów ksenos = obcy i time = czcić. To ciekawe, że właśnie taką nazwą badacze z Dragos określili grupę cyberprzestępców odpowiedzialnych za ataki z wykorzystaniem malware Triton. Pisaliśmy już o nich na SECURMESS.com. Zastanawialiśmy się wtedy, czy jego echa będą rozlegały się równie długo co ataku WannaCry? Odpowiedź przyszła szybciej, niż myśleliśmy. Okazuje się, że specjaliści od ataków na przemysłowe systemy kontroli (ICS) za pomocą Triton (znanego też jako TRISIS) nie próżnują.

Badacze zajmujący się bezpieczeństwem ICS wykryli wzmożony ruch już pod koniec 2018 r. Wówczas napastnicy rozpoczęli skanowanie sieci elektroenergetycznych w Stanach Zjednoczonych i rejonach Azji i Pacyfiku. Co więcej, działania te prowadzili przy użyciu podobnych narzędzi i metod, którymi namierzali firmy na Bliskim Wschodzie. Ostatnio okazało się też, że rozpoczęli ekspansję poza przemysł związany z ropą i gazem. Co z tego wyniknie? Dziś o tym jak aktywność XENOTIME przekłada się na krajobraz zagrożeń przemysłowych; dlaczego wzbudza tak wielkie obawy na całym świecie i jak się chronić przed potencjalnym atakiem?

krajobraz przemysłowy
Koszty i skala trudności ataków na przemysłowe systemy sprawiają, że cyberprzestępcy muszą przygotować się do nich staranniej niż do “zwykłych” włamań.

Zagrożenia ATP w przemyśle

Zagrożenia typu Advanced Persistent Threat to grupa działań, poprzez które cyberprzestępcy uzyskują nieautoryzowany dostęp do sieci, ale pozostają w ukryciu przez dłuższy czas. Zwykle kojarzone są z atakami sponsorowanymi przez państwa, ale w ciągu ostatnich lat trend stopniowo ulega zmianie. Pojawiają się ataki na dużą skalę, ukierunkowane na określone cele, lecz niewynikające z intencji politycznych. W przypadku cyberzagrożeń roztaczających się nad przemysłem sytuacja zdaje się pozostawać w rękach najwyższych organów. To co spotkało w 2017 r. firmy z Arabii Saudyjskiej miało znamiona operacji z wyższego nadania. Przypominamy, że od początku tej historii, odpowiedzialni za atak hakerzy wiązani są z Rosją.

Operacje ataków na systemy ICS są zazwyczaj tak drogie i trudne, że wymagają specjalistycznego podejścia. Atakujący zwykle skupiają się na konkretnym sektorze przemysłowym i wybranej lokalizacji. Inwestycja XENOTIME i zainteresowanie wychodzące poza granice geograficzne i branżowe jest niepokojącym zwiastunem przyszłych wydarzeń. Badacze z Dragos mówią:

„Zaatakowanie dowolnego sektora przemysłowego wymaga znacznych zasobów, które zwiększają się wraz ze wzrostem możliwości i targetowaniem. Wysokie zapotrzebowanie na zasoby ograniczało wcześniej takie ataki do kilku potencjalnych przeciwników. Ponieważ coraz więcej graczy dostrzega wartość i zainteresowanie ukierunkowaniem na krytyczną infrastrukturę – krajobraz zagrożeń rośnie.”

XENOTIME stanowi doskonały przykład rozprzestrzeniania się zagrożeń w ICS. To, co niegdyś uważano za „zagrożenie dla przemysłu ropy naftowej i gazu”, jest również niebezpieczne dla sektora energii elektrycznej. Według Sergio Caltagirone z Dragos możemy spodziewać się kontynuacji ataków w różnych obszarach, od zasilania aż po produkcję. Powodem dla którego tak będzie jest zaadoptowanie technologii Industry 4.0. Maszyny przemysłowe zostały włączone do sieci, do których łączą się inne urządzenia objęte technologią Internet of Things. To oczywiście generuje wiele korzyści, o których wspominaliśmy tutaj. Niestety, nierzadko sieci te mają wyjście na świat bez należytego zabezpieczenia – a to stawia je na celowniku cyberprzestępców.

krajobraz przemysłowy
Zainteresowania hakerów z XENOTIME wykraczają już poza branżę paliwową

Rosnąca skala niebezpieczeństwa

Triton vel TRISIS już w 2017 roku nazwano „najniebezpieczniejszym zagrożeniem na świecie”.  Jego atak na obiekt petrochemiczny w Arabii Saudyjskiej był ukierunkowany na systemy bezpieczeństwa i miał na celu spowodowanie utraty życia lub uszkodzeń fizycznych. Złośliwe oprogramowanie bezpośrednio oddziaływało na sterowanie kontrolerami Triconex Safety Instrumented System (SIS) marki Schneider Electric. Kontrolery SIS stanowią ostatnią linią zautomatyzowanej obrony bezpieczeństwa dla obiektów przemysłowych. Powstała ona w celu zapobiegania awariom sprzętu i katastrofom, takim jak wybuchy lub pożar. Malware spowodował odcięcie tego systemu. Ogromnym szczęściem jest to, że wówczas atak destrukcyjny na ostatnim etapie nie nastąpił.

TRISIS żyje w pamięci wielu ekspertów zagrożeń dla cyber przemysłu, ponieważ do tej pory było tylko kilka szkodliwych programów jego pokroju. Pochodne wirusa Stuxnet i Industroyer  (Crash Override) zapisały się w historii wpływając na fizyczne procesy systemów sterowania. Z perspektywy polskiego przemysłu, zwłaszcza energetycznego, do tej pory największe ryzyko wiązało się z powtórką ataku na Ukrainie – ale tym razem w naszym kraju. Niedawne doniesienia mogą jednak zachwiać nasze poczucie bezpieczeństwa. Zachowanie XENOTIME wskazuje, że aktywność grupy rośnie i przygotowują się oni do kolejnego cyberataku. Ewentualnie testują czy są w stanie spełnić warunki do wtargnięcia do kolejnych systemów ICS, tym razem w innych branżach. Eksperci Dragos dodają:

„Działania XENOTIME są zgodne z pierwszym etapem procedury rozpoznania struktur systemów ICS i mają znamiona operacji wstępnego dostępu. Potwierdzają to obserwowane próby uwierzytelnienia przy użyciu przypadkowych poświadczeń lub skradzionych haseł użytkowników. Celem jest prawdopodobnie dostęp do docelowych kont uprzywilejowanych, skąd mogliby przeprowadzić atak”

Jak chronić przed atakiem ATP sieć przemysłową?

W opublikowanym w piątek raporcie Dragos przyznał, że wprawdzie nie ma twardych dowodów na to, że XENOTIME faktycznie prowadzi cyberatak, ale ich ostatnia aktywność powinna postawić na nogi branżowych specjalistów bezpieczeństwa. Dragos przygotował kilka rekomendacji, które uzupełniliśmy naszymi pomysłami na rozwiązania:

Monitoring sieci
Dbałość o jakość bezpieczeństwa zarówno wewnętrznego jak i zewnętrznego uchroniła przed skompromitowaniem niejedną organizację.

Identyfikacja zasobów i świadomość zagrożenia

Operatorzy systemów ICS we wszystkich branżach muszą przygotować się na potencjalne scenariusze naruszeń i zakłóceń. Najważniejszą rzeczą, jaką może zrobić zespół ds. bezpieczeństwa, jest poprawa widoczności i świadomości jakie aktywności mają miejsce w sieci. Tu sprawdzą się skanery sieci i narzędzia do wykrywania podatności – miedzy innymi luk w zabezpieczeniach i nieaktualnego software’u. Przyda się też szkolenie i propagowanie wiedzy wśród pracowników każdego szczebla.

Wykrywanie podejrzanych zachowań

Informacje o specyficznych dla przemysłowych systemów zagrożeniach można wykorzystać do stworzenia unikatowych wzorców zachowań. Dzięki temu możliwa będzie identyfikacja symptomów nadchodzącego zagrożenia i śledzenie kolejnch działań atakujących. Narzędziem wspomagającym te procesy są np. urządzenia typu sprzętowy firewall z modułem wsparcia dla zagrożeń ATP. Również mechanizmy korelacji zdarzeń zawarte w rozwiązaniach SIEM pomagają namierzyć najsłabsze punkty (najczęściej – konkretnych użytkowników).

Dochodzenie, reagowanie i odzyskiwanie

Jeśli w przeszłości dochodziło do incydentów bezpieczeństwa, należy dokonać szczegółowej analizy tego co zaszło i w jakich warunkach. To istotne z punktu widzenia powtarzalności działań cyberprzestępców, dla których systemy ICS są jeszcze poligonem doświadczalnym. Ponadto wykorzystanie wszystkich dostępnych źródeł informacji – od obserwacji infrastruktury IT po specyfikę procesów przemysłowych umożliwi efektywniejsze reagowanie w razie przyszłych zagrożeń.

Biorąc pod uwagę, że XENOTIME jest w stanie i chce przeprowadzić atak na bezpieczeństwo systemów przemysłowych, można przypuszczać, że skorzysta z podobnych metod co ostatnio. Czyli dokona próby modyfikacji systemów SIS. Dlatego zaleca się środowiskom przemysłowym zaplanowanie scenariuszy reakcji i odzyskiwania związanych z potencjalną utratą integralności SIS.

XENOTIME elementem cyberwojny między USA a Rosją?

Choć większość źródeł stara się pochodzić z dystansem do informacji o tym jakoby Rosja stała za sponsorowaniem działań XENOTIME, pojawiają się głosy oskarżające. Joe Slowik z Dragos przyznaje, że wprawdzie nie jest w stanie określić jaki dokładnie cel przyświeca XENOTIME w monitorowaniu amerykańskiego sektora energetycznego, to jednak żeby mogli oni przeprowadzić skomplikowany atak, będą potrzebować silnego wsparcia finansowego.

widmo cyber wojny
Decyzje rządów i głów państw mają nierzadko wpływ na zachowanie cyberprzestepców. Analizując działania XENOTIME – sojusznicy USA (w tym Polska) powinni mieć się na baczności

XENOTIME okazał się zdolny do stworzenia całej inżynierii ataków dla przemysłowych systemów sterowania. Wszystkie etapy tych procesów wymagają wysiłku i zasobów, zwykle znajdujących się poza zasięgiem niezależnych podmiotów. Co więcej, najczęściej wymagają one osobnych laboratoriów, których utrzymanie wymaga sporych nakładów finansowych. Biorąc pod uwagę wykazane możliwości grupy, XENOTIME muszą korzystać z pewnego poziomu wsparcia ze strony państwa. Na zakończenie, sytuację dobrze posumowuje Sergio Caltagirone w wywiadzie dla Threatpost:

„Producenci i klienci systemów przemysłowych muszą postarać się o autorytatywne zrozumienie swoich środowisk i rozpocząć analizę zagrożeń, przygotowując się na to, co nieuniknione. Przedsiębiorstwa użyteczności publicznej, firmy i rządy muszą współpracować na całym świecie i we wszystkich sektorach przemysłowych. Wszystko po to, by wspólnie bronić życia i infrastruktury przed rosnącym zakresem i skalą cyberataków na infrastrukturę krytyczną”.

WIĘCEJ W TEMACIE

https://www.darkreading.com/perimeter/triton-attackers-seen-scanning-us-power-grid-networks/d/d-id/1334968
https://threatpost.com/trisis-physical-destruction-electric-companies/145712
https://dragos.com/blog/industry-news/threat-proliferation-in-ics-cybersecurity-xenotime-now-targeting-electric-sector-in-addition-to-oil-and-gas/
https://www.inforisktoday.com/xenotime-group-sets-sights-on-electrical-power-plants-a-12637

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *