CO OHROŽUJE ICS A KASPERSKY LAB VIEW
Kirill Kruglov, Kaspersky Lab
TYPY INCIDENTŮ • Náhodná infekce (tradičním) malwarem
• Útok zevnitř systému • Cílené útoky (včetně APT)
PROBLÉM DETEKCE • Dohled na sítí je nedostatečný nebo zcela chybí • Nedostatek zkušeností s malwarem nebo jeho úplná neznalost: • příčinou všech problémů nebo chybné funkce jsou „počítačové viry“ • bez přispění odborníků třetích stran je obtížné detekovat neznámý malware
• Je jednodušší systém přeinstalovat, než hledat příčiny problémů • Aplikace SCADA nemohou mít digitální podpis
ENERGETIC BEAR / CROUCHING YETI • Masivní útok APT (Advanced Persistent Thread) od roku 2010, 2 800+ obětí na celém světě • Energetika, strojní výroba, farmaceutický průmysl
• Šíření prostřednictvím: • emailů s exploitem • infikovaných legitimních webových stránek ( strategie watering hole) • infikovaných (znovu sbalených) legitimních instalačních balíčků • Legitimní webové stránky kompromitované jako řídicí centra
• Obsahuje množství různého malwaru: trojans, backdoors a exploit packs
INFIKOVANÉ INSTALAČNÍ BALÍČKY • Znovu sbalené legitimní instalační balíčky uložené na webových stránkách nebo FTP dodavatelů: • “eWon” – dodavatel softwaru SCADA a síťových komponent z Belgie
• “MB Connect Line GmbH” – dodavatel softwaru pro vzdálenou správu PLC • "MESA Imaging AG" – výrobce vysokorychlostních 3D kamer a snímačů (Švýcarsko)
ÚTOKY WATERING HOLE Infikované webové zdroje: • gse.com.ge – gruzínská státní elektrorozvodná síť • gamyba.le.lt – největší litevský provozovatel elektráren
• chariotoilandgas.com - Chariot Oil and Gas Ltd • longreachoilandgas.com - Longreach Oil & Gas Ltd • vitogaz.com – distributor plynu se sídlem ve Francii, dodávky a technický vývoj
HAVEX ZAMĚŘENÝ NA OPC Seznam portů využívaných malwarem Havex pro sledování OPC : • 502 - Modbus • 102 – PLC Siemens • 11234 - Measuresoft ScadaPro • 12401 – SCADA 7-Technologies IGSS • 44818 - Rockwell Rslinx / FactoryTalk
SLABÁ MÍSTA SCADA
ZPRÁVA US ICS-CERT (ICSA-14-178-01)
• Havex zjišťuje zvláště informace o OPC serverech, např. CLSID, jméno serveru, program ID, verzi OPC, informace o dodavatelích, provozní stav, group count a šířku pásma serveru. Kromě generických informací o OPC serveru dokáže Havex také přejmenovat proměnné OPC. • Testy ICS-CERT zjistily, že Havex může způsobit poruchu na společných platformách OPC. To může být příčinou incidentu DoS v aplikacích závislých na OPC == „smrtelný
ping“
MIANCHA • Dne 2. ledna 2014 zjistil administrátor jaderné elektrárny Monju Nuclear Power mnohočetná připojení na osmi PC v řídicím středisku reaktoru. • Příčina – zákeřný update GOM Media Player instalovaný před pěti dny.
• Na postižených PC bylo 42 000+ emailů a dokumentů. Některé z nich byly odcizeny.
CITADEL
BLACKENERGY 2 fs
File search, network and system
ps
Password collector (stealer)
ss
Screenshot maker
vsnet rd scan
Network spreading via RDP Remote desktop Port Scan
jn
File infector
cert
Digital certificate stealer
grc
Backup communication channel via plus.google.com
sn
Network traffic credential (login:password) extractor
usb
USB drives information collector
CnC Server
plugin_win 3
plugin_mps 1
ROUTER PWN
Jak často aktualizujete firmware síťových routerů?
ROZHRANÍ HUMAN-MACHINE INTERFACE ONLINE
NAPADENÍ VEŘEJNÉ KOMUNÁLNÍ FIRMY V USA •
Velká komunální americká firma byla napadena masivním útokem, který se snažil obejít bezpečnostní nastavení, aby došlo k infiltrování systému.
•
Software používaný ke správě řídicího systému byl dostupný
•
prostřednictvím internetových hostitelů.
Systémy byly konfigurovány s možností přístupu na dálku a využívaly jednoduchý mechanismus hesel; ovšem metoda autentizace byla napadena
standardním masivním útokem.
(US ICS-CERT Monitor Q1 2014)
Ochrana koncových uživatelů nestačí!
METODY INFILTRACE
•
Podnikovou sítí
•
Prostřednictvím zaměstnanců
•
Prostřednictvím dodavatelů
METODY INFILTRACE: SOCIÁLNÍ INŽENÝRSTVÍ
METODY INFILTRACE: EMAILOVÝ PHISHING
METODY INFILTRACE: EMAILOVÝ PHISHING
METODY INFILTRACE NÁSTROJE ÚTOČNÍKŮ
KYBERNETICKÁ SABOTÁŽ Co je třeba k útoku: •
hacker
•
inženýr
•
vývojář softwaru SCADA
•
drahý hardware
•
čas
NSA Journal of Information Warfare Simulace útoku na SCADA
SIMULACE ÚTOKU NA SCADA: CÍL Najít možnost, jak získat úplnou kontrolu nad ICS: •
S využitím jen dobře známých, zdarma a veřejně dostupných softwarových prostředků a běžného hardwaru
•
Bez využití útoku nultého dne nebo vývoje nových exploitů
•
Odborníci na zabezpečení IT, ale ne inženýři ICS
SIMULACE ÚTOKU NA SCADA: TESTOVACÍ PROGRAM Vytvořený a nastavený ve shodě s doporučeními společnosti Siemens •
Siemens PCS7 (WinCC, STEP 7)
•
Siemens PLC S7-317 a dvě S7-414
•
Ethernet a PROFIBUS, ethernetové switche Siemens SCALANCE X-200/300
•
Segmentace sítě prostřednictvím firewallů Siemens SCALANCE S-612, všechna zařízení ICS jsou v interní síti.
SIMULACE ÚTOKŮ NA SCADA TESTOVACÍ PROGRAM V reálném světě běžné „nastavení podle dodavatele” •
Žádné zvláštní požadavky na správu hesel
•
Žádná IDS
•
Žádné aktualizace
•
Žádné řízení konfigurace
SIMULACE ÚTOKU NA SCADA: NÁSTROJE ÚTOČNÍKŮ •
Kali Linux
•
Metasploit
•
NMap
•
Příkazový řádek
SIMULACE ÚTOKU NA SCADA •
Krok 1: Skenování sítě zvnějšku prostřednictvím NMap, zjištěny firewally a pracovní stanice
•
Krok 2: Skenování portů pracovních stanic, odhalení SNMP s defaultním nastavením (heslo – „password“)
•
Krok 3: Sběr informací o verzi OS prostřednictvím NMap přes SNMP (Windows XP SP3), o uživatelích, běžících službách a procesech, sdílených složkách, instalovaném softwaru a aktualizacích
•
Odhalen Microsoft SQL Server 2005 s databází WIN CC využívající nestandardní port 1031 (místo 1433)
SIMULACE ÚTOKU NA SCADA •
Krok 8: Po pečlivém zkoumání byl odhalen konfigurační soubor a utilita pro firewall Siemens SCALANCE S-612. Siemens doporučuje nastavovat firewally z vnější sítě (Siemens AG 2005).
•
I kdyby nebyla nalezena konfigurační utilita, bylo by možné zkusit odhalit heslo masivní výpočetní silou (tento firewall má bezpečnostní slabinu podle ICS-CERT 2012).
•
Krok 9: Přihlášení k firewallu otevřelo přístup k interní síti
•
Krok 10: Pomocí Metasploit byl proveden ARP-scan interní sítě a získán seznam interních zařízení
SIMULACE ÚTOKU NA SCADA •
Krok 11: pomocí administrátorského účtu pracovní stanice (přístup byl získán v předchozích krocích) bylo možné se připojit do interní sítě
•
Krok 12: Získána plná kontrola nad technologickými procesy prostřednictvím WinCC Explorer nebo WebNavigator
•
Úkol splněn
ZÁVĚR • Existuje více kybernetických hrozeb, než jsme zde uvedli (a než si myslíme) • Téměř všechny APT mohou ohrozit průmyslové systémy
• Většina APT dokáže překonat „vzduchovou mezeru“ (Turla, MiniDuke, RedOctober, Fanny…) • Zabezpečení koncových zařízení nestačí! (ale je potřebné)
NAŠÍM CÍLEM JE OCHRÁNIT PŘED KYBERNETICKÝMI ÚTOKY KAŽDÉHO
300
200
miliónů uživatelů po celém států a zemí na celém světě, světě je chráněno našimi kde působíme prostředky
NEDÍLNOU SOUČÁSTÍ NAŠÍ STRATEGIE JE VÝZKUM V OBLASTI KYBERNETICKÝCH HROZEB The Global Research and Analysis Team – elitní skupina odborníků na zabezpečení dat Odhaluje, jak pracují nové kybernetické zbraně Predikce hrozeb
RESPEKT U NEJVÝZNAMNĚJŠÍCH ORGANIZACÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI Spolupráce s mezinárodními organizacemi, jako jsou INTERPOL, Europol, CERTs Detekce a ochranná opatření před jakýmkoliv malwarem, bez ohledu na původ a cíl útoku Eugene Kaspersky at 82nd session of the General Assembly, 2013
Score of TOP 3 places
NAŠI VEDOUCÍ POZICI POTVRZUJÍ NEZÁVISLÉ PRŮZKUMY 100%
80%
60%
79 nezávislých testů a průzkumů 41 prvních míst 61 umístění v TOP 3
Kaspersky Lab Bitdefender Symantec
Avira
Sophos
Eset
40%
F-Secure
BullGuard Avast
Trend Micro
G-Data
20%
Microsoft AhnLab
Panda
McAfee
AVG
N of independent tests/reviews
0% 0
20
40
60
80
NAŠE PROSTŘEDKY JSOU VYSOCE HODNOCENÉ ANTI-MALWARE
APPLICATION CONTROL WITH DYNAMIC WHITELISTING
SYSTEM MANAGEMENT SECURE FINANCIAL MOBILE AND PATCH SECURITY TRANSACTIONS MANAGEMENT
ANALYTICI SOUHLASÍ: KASPERSKY LAB MÁ VEDOUCÍ POZICI NA TRHU 2014. A Leader. Magic Quadrant for Endpoint Protection Platform*
A leader in the Forrester Wave for Endpoint Security, The Forrester Wave™: Endpoint Security, Q1 2013**
Leader in IDC MarketScape***
* Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. ** The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester Wave™ is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. *** IDC's Go-to-Market Services (GMS) offers webrights and reprints of IDC research to support your marketing initiatives. GMS can also help you to leverage IDC's globally respected brand by delivering custom content and multimedia deliverables which are drawn from research and analysis independently conducted and published by IDC analysts. Learn more here or contact us at
[email protected]
PARTNEŘI KL ICS
38 Kaspersky Lab Strategy
DĚKUJI!