Defesa digital no mar: Proteção da infraestrutura offshore de petróleo e gás

05 de outubro de 2023
Créditos: TXOne Networks
O artigo original pode ser lido aqui: https://www.txone.com/blog/safeguard-offshore-oil-gas-infrastructure/

Introdução

Após incidentes devastadores, como o Piper Alpha e o Deepwater Horizon, o setor de petróleo e gás deu passos significativos no aprimoramento das medidas de segurança. Os avanços nas normas de segurança, combinados com uma compreensão mais profunda dos riscos associados, reforçaram significativamente a integridade das plataformas offshore de petróleo e gás (O&G), tornando-as mais resilientes a possíveis desastres. Além disso, a ênfase na segurança cibernética dessas plataformas offshore aumentou em conjunto com a crescente interconectividade da nossa era digital. Nos últimos anos, o setor tem se concentrado bastante em garantir a segurança, principalmente porque diversas metodologias de comunicação desafiam as técnicas tradicionais de isolamento de air gap.

Neste artigo, faremos uma análise retrospectiva dos incidentes de segurança cibernética direcionados às plataformas de petróleo offshore. Em seguida, exploraremos as ameaças atuais predominantes que representam um risco para as plataformas de O&G conectadas. Para concluir nossa discussão, ofereceremos medidas estratégicas de mitigação adaptadas para abordar cada um dos desafios de segurança cibernética identificados.

Por que devemos proteger as plataformas offshore de petróleo e gás?

Em outubro de 2022, o GAO (Government Accountability Office) dos Estados Unidos realizou uma análise abrangente em resposta a solicitações de mais de 1.600 instalações offshore de petróleo e gás (O&G). Essa análise destacou os desafios urgentes de segurança cibernética enfrentados pela infraestrutura offshore de petróleo e gás, categorizando vários problemas. Uma das principais conclusões dessa análise foi a identificação da exploração (exploitation) remota de serviços e sistemas de Tecnologia Operacional (OT) como a ameaça cibernética na qual devemos nos concentrar predominantemente.

Assim como os ambientes tradicionais de OT, os sistemas de plataformas offshore de petróleo e gás já foram amplamente isolados da Internet e das infraestruturas de TI da empresa. No entanto, em ambientes contemporâneos, essas plataformas agora estão frequentemente interconectadas com sistemas internos da empresa e podem ser acessadas pela Internet globalmente. O GAO explica que isso ressalta a urgência crescente de atender às necessidades de segurança cibernética no setor de petróleo e gás offshore.

Componentes principais de uma plataforma offshore de petróleo e gás

Antes de analisarmos as vulnerabilidades comuns, primeiro apresentamos os componentes gerais de uma plataforma offshore de O&G.
1. Hardware: Abrange uma série de equipamentos, incluindo sensores, atuadores, válvulas, unidades terminais remotas (RTUs), controladores lógicos programáveis (PLCs), servidores e toda a infraestrutura de TI, como racks e CPUs, roteadores e mecanismos de controle de acesso, como cartões inteligentes e etiquetas RFID.

2. Firmware: O firmware atua como intermediário entre o hardware e o software. Ele contém o sistema operacional e executa as instruções essenciais que orquestram a funcionalidade do hardware.

3. Software: Essa camada compreende a interface homem-máquina (HMI) para operações onshore e offshore, pacotes de software proprietários especializados e outros aplicativos de software essenciais.

4. Rede: Envolve vias de comunicação, que podem ser tanto com fio quanto sem fio. Elas abrangem desde protocolos sem fio até redes celulares 4G/5G, métodos de comunicação via satélite, como VSAT e KA-SAT, e conexões de fibra óptica.

5. Processo: Refere-se à programação lógica meticulosamente delineada do Sistema de Controle Industrial (ICS) e à configuração do sistema de controle.

 

Figura 1: Overview de uma Plataforma Offshore de Óleo e Gás

Ameaças cibernéticas à infraestrutura offshore de petróleo e gás

Conforme discutido anteriormente, métodos de comunicação como comunicações via satélite (SATCOM) e redes de celular aumentam a conectividade. Isso simplifica as operações e o monitoramento das instalações de O&G, mas também amplia o cenário de ameaças.

Embora convenientes, esses recursos de comunicação aprimorados também expõem a infraestrutura a inúmeras vulnerabilidades. Além dos desafios apresentados pelos protocolos e dispositivos legados, as telecomunicações estão surgindo como vetores de ataque primários. Nesta seção, exploraremos esses vetores e descreveremos os possíveis cenários de ameaças.

Vulnerabilidades baseadas em comunicação

As plataformas offshore empregam três canais de comunicação principais para se conectar com o mundo em geral. Ironicamente, à medida que a conectividade se intensifica, também aumenta a superfície de ataque em potencial. A seguir, vamos restringir nosso foco e explicar em detalhes vários cenários de ameaças.

Comunicação por satélite (SATCOM)

Apesar dos custos substanciais associados à SATCOM, ela continua sendo a opção predominante para a comunicação offshore. Sua relevância no mercado está em constante ascensão. A SATCOM facilita o gerenciamento remoto, permitindo que as plataformas offshore de O&G troquem dados operacionais críticos com especialistas em terra, como controle de válvulas, medições de vazão e detecção de vazamentos. Além disso, o SATCOM atende às necessidades de entretenimento dos membros da tripulação a bordo.

No entanto, a SATCOM não é imune a vulnerabilidades. Citando um abrangente white paper da IOActive, muitos de seus dispositivos apresentam os seguintes pontos fracos:
1. Backdoors: A pesquisa expôs vulnerabilidades no terminal Hughes BGAN, que poderia ser acessado remotamente por meio de uma mensagem SMS. Aproveitando a senha padrão do controle remoto por SMS, os cibercriminosos poderiam comprometer o sistema.
2. Credenciais codificadas: A engenharia reversa do firmware revelou credenciais codificadas, fornecendo um caminho para logins remotos ou atualizações de firmware não autorizadas. (CVE-2013-6034)
3. Protocolos inseguros: O protocolo ThraneLINK deixa de verificar as assinaturas criptográficas antes de executar atualizações de firmware. Agentes mal-intencionados poderiam criar solicitações de SNMP, obrigando o dispositivo a baixar firmware adulterado de um servidor TFTP designado. (CVE-2013-0328)
4. Protocolos não documentados: O protocolo Zing, que inclui comprimento de byte, endereço de memória e dados em sua carga útil, transmite dados sem medidas de proteção. (CVE-2013-6035)
5. Redefinições de senhas fracas: Algumas funções de redefinição podem ser facilmente decifradas. Por exemplo, alguns dispositivos COBHAM (CVE-2013-7810) usam um hash MD5 do número de série do dispositivo combinado com uma cadeia de caracteres codificada.

Práticas de segurança abaixo da média e protocolos desatualizados em dispositivos SATCOM abrem caminho para que agentes mal-intencionados implantem firmware nocivo e manipulem, ou bloqueiem totalmente, a comunicação. Um exemplo recente ocorreu em 24 de fevereiro de 2022, quando vários modems SurfBeam2 e SurfBeam 2+ sucumbiram a ataques de negação de serviço (DoS) em série, tornando os modems inoperantes.

Redes celulares 5G/LTE e operações offshore

Além da comunicação via satélite, o advento das redes celulares, especialmente 5G e LTE, aumentou significativamente a conectividade para empreendimentos offshore. Isso é particularmente vital para as plataformas de perfuração offshore, que devem garantir a comunicação ininterrupta com especialistas em terra para manter a eficiência operacional e, o mais importante, os rigorosos padrões de segurança. No entanto, esse avanço na infraestrutura de comunicação tem suas vulnerabilidades. O que é preocupante é que muitos desses pontos fracos de segurança persistem em diferentes gerações de rede devido aos recursos de compatibilidade com versões anteriores das redes.

Além disso, foram catalogadas várias vulnerabilidades inerentes às redes celulares 5G:
1. Ataque de autenticação e Key Agreement (AKA): Essa vulnerabilidade permite que um invasor se infiltre em uma rede de serviços sob o disfarce de um usuário legítimo, basicamente se passando por outra pessoa.
2. Interceptação de mensagens: Embora a autenticação de mensagens possa validar a origem e o conteúdo de uma mensagem, ela não possui medidas de proteção robustas contra a duplicação ou alteração de mensagens. Essa deficiência permite que entidades mal-intencionadas escutem, falsifiquem ou até mesmo façam downgrade das comunicações para sistemas legados como 3G ou 2G.
3. Negação de Serviço Distribuída (DDoS): Os malfeitores podem esgotar rapidamente os recursos do espectro ao monopolizar várias frequências. Além disso, o recurso de comunicação de dispositivo para dispositivo (D2D), intrínseco ao 5G, apresenta outro nó vulnerável a esses ataques.

Indo mais a fundo, o trabalho investigativo de Altaf Shaik et al. revelou uma série de outros paradigmas de ataque direcionados a redes celulares. Esses paradigmas incluem:
1. Ataques de identificação: Permitem que os invasores identifiquem e cataloguem dispositivos, sejam eles configurações de hardware ou software, enquanto operam dentro da esfera da rede celular.
2. Ataque Bidding Down: Por meio desse mecanismo, os malfeitores podem assumir o controle das comunicações entre dispositivos, prejudicando intencionalmente as taxas de dados e negando as funcionalidades do Voice Over LTE. Essa intervenção incisiva obriga os usuários a voltarem para as redes 3G/2G, que são mais vulneráveis.
3. Ataques de drenagem de bateria: Essa estratégia visa especificamente os dispositivos NB-IoT e LTE-M, desativando seus recursos de conservação de energia e, consequentemente, acelerando o esgotamento da bateria.
As repercussões de redes celulares comprometidas são graves. Os malfeitores que conseguem esse tipo de acesso podem espionar as comunicações, reduzir à força as capacidades da rede ou até mesmo cortar totalmente os links de comunicação. No contexto das plataformas de O&G, isso pode culminar em uma perda total do controle operacional.

Dinâmica de ataques cibernéticos em plataformas de petróleo e gás

À medida que os adversários cibernéticos encontram portas de entrada nos sistemas, seja via SATCOM ou canais de telecomunicações avançados, como 5G/LTE, eles frequentemente se envolvem em atividades maliciosas, como sabotagem de dispositivos ou roubo de dados. Neste artigo, vamos nos aprofundar em alguns cenários de ataque plausíveis:

Vulnerabilidades dos protocolos de OT ao ataque MiTM

1. Ataque OPC MiTM: Alessandro Erba et al. chamaram a atenção para as implementações de segurança inadequadas do protocolo OPC UA por vários fornecedores. Muitos fornecedores não ativam o SecurityMode; se o fazem, usam medidas criptográficas fracas. Essa falta de segurança cria oportunidades para que os adversários interceptem o protocolo OPC UA implantando configurações de Server/Client não autorizadas. Uma forma particularmente perigosa desse ataque é conhecida como “ataque man-in-the-middle”, em que um servidor malicioso interage com um Client desavisado, explorando essas vulnerabilidades.

2. Ataque Modbus MiTM: O protocolo Modbus TCP é particularmente vulnerável devido à sua carga útil não criptografada. A pesquisa ilustra essa vulnerabilidade com uma demonstração de teste em que o Modbus TCP foi interceptado sem esforço usando ferramentas como o Ettercap. Consequentemente, os adversários podem monitorar passivamente a rede ou manipular ativamente os comandos/dados trocados entre os mestres e escravos Modbus.

 

Figura 2: Ataque Man-in-the-Middle ao OPC UA [10]

Após um ataque MiTM bem-sucedido, os invasores podem executar:
1. Sniffing de Dados: Os invasores obteriam acesso à IHM e a informações confidenciais, como valores de pressão e temperatura, taxas de vazão de produção e pressão máxima de trabalho permitida (MAWP). Isso poderia levar a violações significativas de dados, incluindo a exposição de parâmetros de produção e dados sensíveis de sensores.

2. Alteração de dados: Os invasores podem falsificar as saídas do sensor para enganar os sistemas de controle. Eles também podem manipular, excluir ou introduzir comandos durante a transmissão de dados. Por exemplo, um invasor pode enganar um CLP (Controlador Lógico Programável) indicando falsamente níveis baixos no tanque de óleo. Enganado por esses dados, o CLP pode encher o tanque continuamente, culminando em um derramamento de óleo catastrófico.

Ataque de negação de serviço (DoS)

Se um ataque de DoS for bem-sucedido, ele poderá incapacitar mecanismos de controle essenciais. Entre eles, o Sistema de Desligamento de Emergência (ESD) é um elemento fundamental para garantir a segurança das operações. Imagine um cenário em que um invasor inunda um Controlador Lógico Programável (PLC) com uma enxurrada de pacotes de solicitação Modbus. A falha resultante do PLC tornaria o ESD inoperante. Em uma situação tão terrível, os operadores humanos se veem em perigo. Eles ficam subitamente sem os meios para iniciar um desligamento de emergência, podendo sofrer graves danos físicos devido à sua incapacidade de mitigar uma situação perigosa.

Sequestro de sistemas

Em circunstâncias mais graves, os adversários podem assumir o controle de estações de trabalho inteiras. Sob seu comando malicioso, os invasores podem usar essas estações de trabalho para anular comandos, alterando o comportamento de bombas e atuadores como bem entenderem. O mais alarmante é que os CLPs – normalmente programados para manter limites operacionais seguros, como pressões e vazões máximas permitidas – podem ser comprometidos. Com uma estação de trabalho e uma interação de CLP comprometidas, a segurança de toda a plataforma fica em risco e a possibilidade de uma explosão catastrófica se torna muito real.

Mitigações

Depois de delinear possíveis cenários de ataque baseados em vulnerabilidades de comunicações e protocolos, propomos as seguintes contramedidas para atenuar efetivamente essas ameaças:
1. Autenticação: As instalações devem realizar revisões periódicas e implementar rigorosamente medidas de autenticação e autorização em todas as entidades. Isso inclui o uso de listas de controle de acesso (ACL), adotando o princípio do menor privilégio e evitando o uso de credenciais codificadas.

2. Patching e atualização: Atualizar regularmente os sistemas operacionais, as estações de trabalho e o firmware é fundamental para evitar possíveis vulnerabilidades. Isso se aplica tanto a dispositivos de telecomunicações quanto a estações de trabalho e controladores.

3. Criptografia: A comunicação dentro das instalações deve ser protegida com o uso de criptografia. Por exemplo, o modo de segurança do OPC UA deve ser configurado para “Sign” (assinar) ou “SignAndEncrypt” (assinar e criptografar), adotando algoritmos criptográficos robustos e, por padrão, desativando os mais fracos.

4. Segmentação de rede: É imperativo que as instalações implementem uma segmentação meticulosa da rede para proteger os sistemas vitais; isso implica isolar a infraestrutura crítica, as redes corporativas e as DMZs.

Além disso, a implantação de firewalls e sistemas de detecção de intrusão (IDS) não é negociável. Em especial, vários pesquisadores defenderam sistemas de IDS orientados por machine learning (ML). Com as condições simuladas corretas, esses sistemas podem se tornar muito úteis para auxiliar os operadores na detecção de anomalias.

Conclusão

A evolução das tecnologias de comunicação offshore se acelerou consideravelmente junto com a expansão da conectividade. Consequentemente, o potencial de incursões maliciosas em plataformas offshore de O&G também aumentou. Não se deve subestimar a necessidade de blindagens robustas contra essas ameaças cibernéticas.

As falhas de projeto nas telecomunicações e as configurações errôneas inadvertidas ou o uso indevido de vários protocolos ICS podem ampliar as vulnerabilidades, tornando a defesa cada vez mais desafiadora. Para se defender com sucesso dessas ameaças cibernéticas iminentes, as plataformas de O&G devem encarar esses riscos de frente, munidas de regulamentações abrangentes e ferramentas de segurança cibernética de ponta.

SAIBA MAIS