As 05 lições aprendidas com os Cyber Ataques ao setor elétrico

por | jan 26, 2023 | Segurança da Informação

A segurança na área de OT (Operation Tecnology) faz referência ao software, hardware, as práticas e serviços implantados para proteger a infraestrutura, pessoas e a operação de todo o ambiente industrial.
À medida que TI e a OT convergem e a indústria 4.0 avança para dentro dos processos industriais, implementando IoT, Big Data, Inteligência artificial e nuvem, a cyber segurança passa a ser ainda mais fundamental neste ambiente que até pouco tempo atrás vivia isolado e sem maiores preocupações de segurança, pelo menos era assim que os profissionais desta área enxergavam as coisas.

Entender os ataques passados é essencial para se preparar para os futuros. O estudo dos incidentes de segurança cibernética em indústrias críticas, como o relatório de histórico de ataques ICS do Departamento de Energia dos EUA em 20182, fornecem exemplos valiosos para equipes de segurança, TI e tecnologia operacional (OT). Através de uma linha do tempo que se estende desde 1903, é possível ver como as indústrias têm evoluído na proteção contra ameaças cibernéticas.

Lição 1: Seu ambiente de ICS é tão seguro quanto seu provedor terceirizado mais vulnerável

Em 2014, os invasores redirecionaram o malware Havex, um trojan de acesso remoto (RAT)3 que inicialmente visava o setor de energia4, para perseguir os fabricantes de ICS e seus clientes. Os alvos conhecidos incluíam fabricantes de software ICS e pelo menos um fornecedor de câmeras industriais.

Além de enviar o RAT por meio de spam e kits de exploração, o malware Havex foi um passo além. Ele infectou os downloads de software5 que os fabricantes de ICS/SCADA disponibilizaram para seus clientes “na tentativa de infectar os computadores onde o software estava instalado”.

Os pesquisadores de segurança descobriram que o conteúdo do código malicioso sugeria que, além do roubo de dados e da espionagem, os invasores pretendiam controlar remotamente os equipamentos no ambiente industrial. Embora fosse uma novidade na época, o controle remoto através de um cavalo de troia onde os invasores adulteravam sistemas críticos de infraestrutura6 são uma preocupação crescente.

Lições aprendidas sobre segurança ICS: Seu ICS é tão seguro quanto o seu fornecedor menos seguro, por isso é fundamental ter discussões contínuas sobre como a segurança afeta seu relacionamento. Além disso, monitore continuamente o tráfego do dispositivo para detectar e responder rapidamente à exfiltração de dados.

Lição 2: Identifique e monitore cada dispositivo em seu ambiente

Um dos ataques ICS mais extensos e prejudiciais já registrados foi o desligamento da rede elétrica em dezembro de 2015 em Kyiv, na Ucrânia, que deixou mais de 225.000 pessoas sem energia. Em uma análise detalhada do incidente, a empresa Booz Allen Hamilton7 identificou 17 etapas que os invasores executaram para se infiltrar nos sistemas ICS, interromper processos industriais e destruir dados.

Entre essas etapas estavam:

  • Varredura e identificação de dispositivos de perímetro como parte do reconhecimento de infraestrutura.
  • Entrega de um malware RAT por meio de e-mails de phishing visando usuários do Microsoft Office em distribuidores de eletricidade
  • Instalação e execução de RAT para estabelecer comunicação entre atacantes e redes de destino.
  • Coleta de credenciais, espionagem de rede interna e identificação de novos alvos de rede Acesso de controle de rede ICS.

Lições aprendidas sobre segurança ICS: Desenvolva uma minuciosa análise de riscos do ambiente industrial, classificando todos os dispositivos, computacionais ou não e desenvolva uma imagem clara e completa do ambiente industrial, incluindo ativos, redes, dispositivos e padrões esperados de comunicação necessário para entender o perfil de risco. O monitoramento contínuo da atividade e a detecção de ameaças são essenciais para detectar atividades internas maliciosas com antecedência. Além disso, mantenha e atualize a segmentação e os firewalls para limitar os danos causados pelos futuros intrusos.

Lição 3: Patches, atualizações e alertas em tempo real são apostas importantes para a segurança cibernética do ambiente industrial.

Quando uma onda de ataques do ransomware SamSam varreu os EUA em 2018, a mídia se concentrou nas cidades cujos dados e serviços foram interrompidos. Mas esses ataques também tiveram como alvo infraestruturas críticas, incluindo o porto de San Diego8 , em um prenúncio dos ataques em andamento contra organizações portuárias e marítimas em 2021.

SamSam, como o ataque na Ucrânia, parece ter sido patrocinado pelo Estado9 com o objetivo de interromper operações críticas . A CISA descreveu o modo de ataque como uma combinação de exploração do protocolo Microsoft RDP (protocolo de área de trabalho remota) para entrar e persistir em redes de destino, por meio de credenciais roubadas ou ataques de força bruta, seguido de escalonamento de privilégios e execução de malware. Os invasores usaram meios relativamente simples, como anexos em e-mails de phishing, para infectar as vítimas sem que elas tomem conhecimento dessas infecções.

Lições aprendidas de segurança ICS: Implemente correções e atualizações de SO e aplicativos para todos os dispositivos no ambiente o mais próximo possível do tempo real. Especialmente para sistemas RDP e máquinas virtuais. A identificação, avaliação e monitoramento de terminais também são críticos. Além disso, como nos exemplos dos ataques descritos acima, o monitoramento e os alertas de atividades do ambiente em tempo real devem ser uma prioridade.

Lição 4 – Utilize os conceitos dos “conduits” empregados na ISA 62443

Como explicado anteriormente, o ataque ao sistema de geração de energia elétrica na Ucrânia em 2015, utilizando um malware conhecido como BlackEnergy para ganhar acesso aos sistemas de SCADA que controlam as subestações elétricas e uma vez dentro, os hackers foram capazes de desativar os sistemas de controle, causando interrupções no fornecimento de energia. Além disso, os hackers também usaram outro malware conhecido como KillDisk para apagar arquivos críticos e dificultar a recuperação dos sistemas afetados.

Lições aprendidas de segurança ICS: Com certeza, a segmentação do ambiente de rede em “conduits” definidos na ISA 62443 mitigariam esses ataques.

Os “conduits” são uma parte importante da norma IEC 62443 e são utilizados para separar as redes de sistemas críticos das redes de negócios e de TI comuns, a fim de evitar que os sistemas críticos sejam afetados por ameaças cibernéticas.
Os conduítes são o tipo especial de zona de segurança que agrupa comunicações que podem ser logicamente organizadas em fluxos de informação dentro e também fora de uma zona.

Lição 5 – Tenha um plano de resposta a incidente

O ataque de 2016 contra a empresa de geração de energia saudita Saudi Aramco foi um ataque de malware conhecido como “Shamoon”. O ataque foi realizado por meio de um worm de computador que se espalhou por toda a rede da empresa, causando a perda de dados em mais de 30.000 computadores.

O malware foi projetado para excluir arquivos do sistema e substituir as imagens de inicialização dos computadores afetados com uma imagem de um menino chorando. Ele também foi capaz de propagar-se rapidamente através da rede, o que tornou difícil para a equipe de segurança da Saudi Aramco conter a ameaça.

O ataque foi atribuído a um grupo conhecido como “Cutting Sword of Justice”, que reivindicou a autoria do ataque como uma forma de protesto contra a política externa saudita. A empresa de energia saudita afirmou que o ataque não causou interrupções no fornecimento de energia, mas causou danos significativos aos sistemas de segurança e dados.

Lições aprendidas de segurança ICS: Um plano de resposta a incidentes para um ambiente de sistemas de controle industrial (ICS) ajudaria na mitigação do incidente.

Um plano de resposta a incidentes de segurança cibernética para ambientes de ICS deve incluir algumas etapas-chave para garantir uma resposta rápida e eficaz a incidentes cibernéticos.

Algumas dessas etapas incluem: Identificação, Análise, mitigação, recuperação e comunicação.

Além dessas etapas, o plano deve incluir medidas específicas para garantir a segurança de sistemas de controle de processos industriais, como a implementação dos “conduits” para separar as redes de sistemas críticos das redes de negócios e de TI comuns, e a implementação de medidas de segurança adicionais para proteger sistemas SCADA.

Conclusão

Essas são algumas lições aprendidas dos ataques ao setor elétrico, mas que se aplicam a qualquer área, independentemente do tipo da indústria.

De um modo geral, para qualquer tipo de ambiente industrial e de TI, as recomendações gerais incluem:

  • Isolamento de rede: Isolar os sistemas ICS de redes não confiáveis, como a Internet, para evitar a entrada de ameaças externas.
  • Monitoramento e detecção de intrusos: Utilizar ferramentas de monitoramento e detecção de intrusos para detectar e responder a atividades suspeitas de forma rápida.
  • Atualização de software e firmware: Manter todos os sistemas e dispositivos atualizados com as últimas correções de segurança e patches.
  • Controle de acesso: Implementar medidas de controle de acesso, como autenticação forte e autorização, para garantir que somente usuários autorizados tenham acesso aos sistemas.
  • Backup e recuperação de dados: Criar backups regulares e testar a recuperação de dados para garantir a disponibilidade dos dados críticos.
  • Segmentação de rede: Segmentar a rede para limitar a propagação de incidentes e proteger os sistemas críticos.
  • Treinamento e conscientização: Treinar os funcionários e fornecer material de conscientização para garantir que eles estejam cientes dos riscos de segurança cibernética e saibam como agir de forma segura.
  • Planos de resposta a incidentes: Ter um plano de resposta a incidentes bem elaborado e testado para garantir a capacidade de detectar, responder e recuperar de incidentes de segurança cibernética.

Essas recomendações são somente uma orientação geral e é importante que cada ambiente de ICS seja avaliado de forma específica para identificar as necessidades de segurança e as melhores práticas para atendê-las.

Visibilidade e Análise de Rede Industrial

Quando o ambiente de Rede Industrial sinaliza uma instabilidade as respostas devem ser rápidas e definitivas para isolar e resolver o problema. A Análise de Tráfego consiste em identificar os tempos de respostas e os detalhes específicos no tráfego dos servidores,...

As lições do ataque ao ConecteSUS

Parece uma insanidade dizer isso, mas talvez a única forma inequívoca de recuperar essa base seria que o cidadão que precisar do ConecteSUS para algo visite seu posto com o cartão físico de vacinação para recadastrar seus dados. Começamos a sexta-feira de uma forma...