Quando um RAT(O) ataca um Sistema Instrumentado de Segurança (SIS) – como mitigar os riscos

Os ataques a Sistemas Instrumentados de Segurança (SIS) mostram uma nova qualidade de
cibercrime e terrorismo cibernético. Embora esta seja uma notícia verdadeiramente
perturbadora, existem diferentes medidas de segurança e abordagens de proteção que todos
podem empregar para tornar segura a sua linha de produção…

Autor: Marcus Klapprodt
Head of Marketing & PR – MB Connect Line GmbH

Tradução: Paolo Capecchi
Diretor da Westcon Instrumentação Industrial Ltda


O que é um RAT? Em inglês, RAT designa o pequeno roedor de cauda longa, que pode transmitir doenças graves, como a Leptospirose, por exemplo, mas, quando se fala sobre segurança cibernética, RAT é a sigla para Remote Access Trojan (Trojan de Acesso Remoto).

O RAT é um malware que inclui uma porta traseira para controle administrativo sobre um sistema alvo. Como o roedor, pode levar ainda mais programas maliciosos, como vírus, outros Trojans ou Worms. Embora bastante desagradável em um computador doméstico, pode ser devastador no ambiente de TO (Tecnologia de Operação).

Um dos incidentes mais problemáticos nos últimos meses foi o ataque a um sistema de segurança. Com vários nomes diferentes como Triton, Hatman ou Trisis, este é o primeiro ciber-ataque documentado em um Sistema Instrumentado de Segurança (SIS).

Isto é especialmente alarmante, uma vez que o SIS consiste de CLPs e instrumentação especialmente projetados para executar o controle ou shutdown de emergência de processos críticos ou perigosos.

Em 14 de dezembro de 2017, o malware ganhou acesso à estação de trabalho de engenharia do SIS que havia sido deixada no modo de programação e não no modo de operação que é inerentemente mais seguro pois impede o acesso a alterações no sistema.

De acordo com especialistas em segurança cibernética, é provável que a parada espúria da planta fosse o plano do ataque de malware. Felizmente, Trisis / Hatman foi descoberto pelo equipamento Tricon (o controlador do SIS) devido a um erro no malware. Como resultado, o sistema instrumentado de segurança executou o shutdown da planta levando o processo a um estado seguro.

É importante destacar que o malware não usou qualquer vulnerabilidade inerente ao SIS. Na verdade, o fabricante respondeu de forma exemplar, iniciando imediatamente uma investigação no processo junto com a equipe de segurança do usuário, FireEye e o Departamento de Segurança Interna dos EUA.

O incidente foi então comunicado de forma transparente para avisar os outros. A investigação mostrou que o sistema estava conectado à zona desmilitarizada da rede (DMZ), onde os equipamentos que compõem o SIS estavam localizados.

Os invasores conseguiram entrar em uma estação de trabalho Microsoft Windows que permitiu o acesso ao SIS. A função de proteção de memória do controlador Tricon (uma chave física no painel frontal) foi deixada no modo de programação, o que permitiu que a memória do Tricon fosse alterada pelos atacantes.

Os ataques a sistemas instrumentados de segurança mostram uma nova modalidade de cibercrime e terrorismo cibernético. Embora esta seja uma notícia verdadeiramente perturbadora, existem diversas medidas de segurança e abordagens de proteção que todos podem empregar para tornar sua produção segura.

Para mitigar o risco de curto prazo, recomenda-se seguir as normas e procedimentos de segurança documentados. No incidente acima citado, o SIS estava instalado na Zona Desmilitarizada (DMZ) e operando com o modo de programação habilitado, deixando-o vulnerável a ataques.

Para mitigar o risco a médio e longo prazo, é muito importante fazer uma avaliação completa do site e desenvolver um plano de segurança cibernética, incluindo a segmentação e proteção de redes TO com um poderoso firewall industrial.

Todavia, o melhor sistema de segurança será inútil se as pessoas relutarem em utilizá-lo por ser complexo e requerer conhecimentos avançados de TI. Você deve escolher um firewall industrial que seja projetado especificamente para profissionais de automação e fácil de configurar, como o mbNETFIX da empresa alemã MB Connect Line.

Posts Relacionados

Deixe um Comentário