Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Анатомия атаки на АСУ ТП

1,293 views

Published on

Описание анатомии атаки на АСУ ТП

Published in: Technology
  • Be the first to comment

Анатомия атаки на АСУ ТП

  1. 1. 25 мая 2018 года Бизнес-консультант по безопасности Анатомия атаки на АСУ ТП Алексей Лукацкий
  2. 2. Проблема сознания • Отсутствие реального опыта защиты АСУ ТП • Предположения о «сложности» атак на АСУ ТП и их особом способе по сравнению с обычными корпоративными атаками • Нежелание встать на место злоумышленника
  3. 3. Любая атака состоит из множества ходов Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  4. 4. Начнем с кино https://www.youtube.com/watch?v=4I-QgbmWPnY
  5. 5. Анатомия атаки на АСУ ТП: этап 1 Доставка Эксплойт Инсталляция C&C Действие Анализ Расширение плацдарма Инсталляция / исполнение Запуск Захват Сбор Утечка Удаление Разведка Вооружение Определение цели Подготовка Планирование Вторжение
  6. 6. Публичные фото
  7. 7. OSINT: Shodan
  8. 8. OSINT: Shodan Images
  9. 9. HAVEX • Специализированный вредоносный код, направленный на сбор разведывательной информации - о зараженной системе, о OPC-сервисах, об используемых промышленных протоколах в сети • Данная кампания (Backdorr.Oldrea или Energetic Bear RAT) датируется концом 2010-го - началом 2011-го года, но публично о ней заговорили только в июне 2014-го года • С конца 2014-го года о HAVEX внезапно перестали писать
  10. 10. Как распространялся HAVEX Фишинговое e-mail • Вложенные вредоносные файлы • Открывались на инфицированных системах • Ранние версии Атака Waterhole • Скомпрометированные сайты • Редиректы посетителей • Copy/Paste Metasploit • Популярные Exploit Kit на инфицированных сайтах • HAVEX доставлен на зараженные узлы Встроен в инсталляторы или firmware • Многие ICS-продукты • Уязвимые непатченные web- сайты производителей ICS • Троянизированные инсталляторы и firmware • Напрямую в окружение HAVEX не был продвинутым вредоносным кодом сам по себе. Продвинутой были планирование и «логистика», а также стоящие перед ВПО цели – сбор разведывательной информации
  11. 11. «Матрешка» - атака на страны НАТО • SHA256: ffd5bd7548ab35c97841c31cf83ad2ea5ec02c741560317fc9602a49ce36a763 • Filename: NATO secretary meeting.doc
  12. 12. Пример: в DOC-файл вложен Flash
  13. 13. Шаг 1: разведка через Flash-объект A=t&SA=t&SV=t&EV=t&MP3=t&AE=t&VE=t&ACC=f&PR=t&SP=t&SB=f&DEB=t&V=WIN%20 9%2C0%2C0%2C0&M=Adobe%20Windows&R=1600x1200&DP=72&COL=color&AR=1.0&O S=Windows%20XP&L=en&PT=ActiveX&AVD=f&LFD=f&WD=f&IME=t&DD=f&DDP=f&DTS=f &DTE=f&DTH=f&DTM=f Flash в объекте ActiveX Windows versionFlash version
  14. 14. • Если собранная на первом шаге информация полезна, то • если нет, то атака прекращается Шаг 2: загрузка полезной нагрузки и эксплойта Flash
  15. 15. Шаг 3: загрузка Flash, эксплуатация дыры и запуск Загрузка Flash на лету Ссылка Shellcode
  16. 16. BlackEnergy • Направленный фишинг • Документ Word и PowerPoint с макросом • Тематические рассылки на тему нефтянки • Использование 0Day для Windows • Разработка и использование ICS эксплойт для HMI
  17. 17. Сценарий одной атаки Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использовал социальный инжиниринг Оператор открывает фейковый линк и заражается Нарушитель скачивает базу данных SAM & подбирает пароль Нарушитель входит в систему, запускает процедуру shutdown Оператор реагирует очень медленно (не верит, что это с ним происходит!) Злоумышленник меняет условия работы АСУ ТП Удаленная площадка теряет функцию удаленного запуска Удаленная площадка остается недоступной в течение 3+ дней Снижение объемов переработки нефтепродуктов Посмотрите презентацию «Взлом одной из нефтяных компаний Ближнего Востока Анализ реального случая» с ITSF 2016
  18. 18. Красивая приманка
  19. 19. А вы думали о безопасности Интернета вещей? https://www.youtube.com/watch?v=4I-QgbmWPnY
  20. 20. Анатомия атаки на АСУ ТП: этап 2 Разработка Тестирование Доставка Инсталляция Обеспечение атаки Начало атаки Действие Совпадение Модификация Скрытие Доставка Вставка Усиление Поддержка атаки
  21. 21. Проект «Аврора» • В помещение с генератором в Idaho National Laboratory было получено удаленное соединение группой хакеров спонсированных DHS. • Было полученно управление генератором через систему управления электропитанием. • Перепрограммирован контроллер на вращение (1000’s times/sec) • Сначала повредились подшипники, далее вышел из строя сам генератор • Дизельный генератор ценой 1 миллион долларов был уничтожен. • http://www.youtube.com/watch?v=fJyWngDco3g
  22. 22. Проект «Аврора»
  23. 23. Как попасть из пункта А в пункт Б? Определение текущих доверенных соединений Манипуляции окружением Использование административных привилегий для установления новых соединений Физические элементы USB, CD, инсайдер, устройства
  24. 24. Как попасть с 1-го этапа на 2-й • Доверенные соединения • Доступ от производителей • Удаленный доступ персонала • Резервные копии и иные задачи по репликации • Коммуникации системного управления (патчи, мониторинг, конфигурации и др.) • Доступ к серверам хранения исторический информации (historians) • Доступ через dialup или Wi-Fi • Waterholing • Социальный инжиниринг • Закладки в оборудование • Флешки и иные носители информации
  25. 25. Пара типичных примеров Хакеры получили несанкционированный доступ к компьютерным системам водоочистных сооружений в Харрисбурге, шт. Пенсильвания, в начале октября 2006 года. Ноутбук сотрудника была взломан через Интернет, затем он использовался как точка входа для доступа к административным системам и установки вирусов, троянских и шпионских программ. На конференции Federal Executive Leadership Conference в Вильямсбурге, штат Вирджиния, представитель спецслужбы подтвердил 200 представителям правительства и промышленности, что злоумышленники вторгались в системы нескольких организаций, составляющих национальную инфраструктуру, и требовали выкуп, угрожая отключить системы. Поставщики коммунальных услуг в США не подтверждали и не отрицали факты подобного шантажа.
  26. 26. Посторонний Wi-Fi в контролируемой зоне
  27. 27. Примеры киберинцидентов на ядерных установках • АЭС Sellafield, Великобритания, 1991 г. • Игналинская АЭС, Литва, 1992 г. • АЭС Бредвелл, Великобритания, 1999 г. • АЭС David Besse, США, 2003 г. • АЭС, Япония, 2005 г. • АЭС Browns Ferry, США, 2006 г. • АЭС Hatch, США, 2008 г. • АЭС в Майами, США, 2008 г. • АЭС Areva, Франция, 2011 г. • АЭС San Onofre, США, 2012 г. • АЭС Susquehanna, США, 2012 г. • АЭС Monju, Япония, 2014 г. • АЭС KHNP, Южная Корея, 2014 г. • АЭС, Япония, 2015 г. • АЭС, Германия, 2016 г. • АЭС, Пакистан, 2017 г.
  28. 28. Червь на атомной электростанции (США)
  29. 29. Заражение вредоносным кодом через флешку • Conficker (KIDO) заражение НПЗ – неопубликовано • Description – Cyber Assault. Вирус поразил Windows компьютеры и продолжал распространение. Привел к нарушению трафика DCS контроллеров, приведшего к их остановке • Attack Vector – Вирус принесен на Flash USB носителе контрактника от вендора (предположительная причина) • Vulnerability – Уязвимость на Windows хостах, соединенных с DCS контроллерами • Damage Caused – НПЗ потерял контроль над производством на целый день. Финансовые потери более £500,000
  30. 30. Stuxnet – направленная кибер атака • Описание атаки - Высоко организованная и ресурсоемкая атака на объекты иранской ядерной программы • Вектор атаки – Инфицированная USB Flash подключена в Windows PC, подключенный к производственной сети • Уязвимость – Siemens контроллеры, подключенные к центрифугам на иранском заводе по обогащению урана • Последствия – Вирус перехватил управление контроллером и изменял скорость вращения центрифуги заставляя изнашиваться шестерни, приводя к дорогому и длительному ремонту. Также нанесен политический ущерб Но есть и другая версия – ВПО уже находилось в промышленном оборудовании на момент поставки
  31. 31. История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. • 44-ФЗ как угроза информационной безопасности… Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
  32. 32. Объединим все вместе • Разведка • Выбор цели • Создание кибероружия • Разработка / Тестирование • Доставка / Exploit / Скрытие • Инсталляция • Модификация систем • Command and Control • Выполнение задачи • Анти-расследование BRKIOT-211532
  33. 33. С примерами 1 2 3 4 5 6 7 8 Conficker APT1 Иран vs США BE3 HAVEX Stuxnet Украина 2016 WannaCry Neytya
  34. 34. Спасибо! alukatsk@cisco.com

×