Estratégias de defesa contra o malware de ICS Fuxnet

29 de maio de 2024
Créditos: TXOne Networks
O artigo original em inglês pode ser lido aqui: https://www.txone.com/blog/strategies-for-defense-against-fuxnet-ics-malware/

 

Introdução

De acordo com relatórios recentes sobre segurança cibernética, foi descoberto um novo malware de ICS (Industrial Control System) destrutivo chamado Fuxnet. Esse incidente está supostamente ligado ao grupo de hackers Blackjack, que está associado a agências de segurança ucranianas.

Ele envolveu um grande ataque à Moscollector, uma empresa com sede em Moscou responsável pelo gerenciamento de infraestruturas essenciais, como abastecimento de água, tratamento de esgoto e sistemas de comunicação. Os invasores empregaram o malware Fuxnet, que é semelhante ao Stuxnet, para desativar sensores industriais e interromper operações em vários setores.

Inicialmente, os atacantes alegaram ter desativado 87.000 sensores, mas depois esclareceram que o impacto real foi em 2.659 gateways de sensores, dos quais aproximadamente 1.700 gateways de sensores foram comprometidos com sucesso. Os invasores conseguiram desativar esses sensores sabotando os gateways e explorando um ofuscador especializado em M-Bus dentro do malware.

Esse incidente deve ser motivo de grande preocupação para todos os operadores de plantas de manufatura e de infraestrutura crítica, pois demonstra a capacidade do malware de interromper a operação de sensores industriais e monitorar a infraestrutura. As empresas precisam aumentar sua vigilância para evitar que cenários semelhantes ocorram em seus próprios ambientes de ICS.

 

Malware Fuxnet no Moscollector por Hackers Blackjack

A análise da Claroty revelou que o Fuxnet teve como alvo principal os gateways de sensores que usam protocolos de barramento serial, como RS485 e Meter-Bus, e não os próprios sensores. Primeiro, o malware excluiu arquivos e diretórios críticos, desligou os serviços de acesso remoto e corrompeu as informações da tabela de roteamento. Em seguida, ele danificou o sistema de arquivos, reprogramou o firmware dos dispositivos e danificou fisicamente os chips de memória NAND. Para completar, o Fuxnet enviou dados aleatórios aos gateways de sensores conectados, sobrecarregando os canais de comunicação e desativando efetivamente os sensores.

1. Ataque inicial

O ataque teve origem nos roteadores 3G RL22w fabricados pela empresa russa iRZ, que usam o OpenWRT como sistema operacional. Os invasores obtiveram senhas de root para esses dispositivos, conectaram-se a eles usando SSH e criaram um túnel nos sistemas internos, obtendo acesso total. Pesquisas no Shodan e no Censys revelaram 111 desses dispositivos com o Telnet ativado, diretamente expostos à Internet.

2. Reconhecimento contínuo

Os atacantes visaram dispositivos de gateway de IoT fabricados pela empresa russa AO SBK, concentrando-se principalmente em dois tipos:
a) MPSB: projetado para troca de informações com dispositivos externos por meio de várias interfaces, com suporte a Ethernet e protocolos de comunicação serial, incluindo CAN, RS-232 e RS-485.
b) TMSB: semelhante ao MPSB, com modem 3G/4G integrado para transmissão de dados para sistemas remotos via Internet.
Esses gateways foram conectados a vários sensores físicos que medem as concentrações de metano, dióxido de carbono, oxigênio e monóxido de carbono no ar industrial, comunicando-se por meio de canais seriais Meter-Bus/RS485.

3. Implantação de scripts

Os atacantes criaram e implantaram listas de IPs de gateway de sensores-alvo, incluindo suas localizações físicas e descrições. O malware foi distribuído a cada alvo por meio de SSH ou do protocolo do sensor (SBK) na porta 4321.

4. Bloqueio de dispositivos e destruição do sistema de arquivos

Os atacantes remontaram sistemas de arquivos, excluíram arquivos e diretórios críticos, desligaram serviços de acesso remoto e corromperam informações da tabela de roteamento para interromper a comunicação entre dispositivos.

5. Destruição de chips NAND

Realizaram operações de inversão de bits em chips de memória NAND, reescrevendo repetidamente a memória, causando falha no chip e impossibilitando a sua recuperação.

6. Destruição de volume UBI

Sobrescreveu volumes UBI, inutilizando-os e danificando o gerenciamento da memória flash, o que resultou em um sistema de arquivos instável.

7. Negação de serviço via protocolo M-Bus

Realizou testes de fuzz no protocolo M-Bus enviando dados aleatórios por meio de canais seriais, sobrecarregando as vias de comunicação e desativando sensores.

 

Recomendações estratégicas

Dada a complexidade e a gravidade do ataque do Fuxnet, é fundamental que os tomadores de decisões de segurança e os CISOs implementem medidas robustas de segurança cibernética em seus ambientes OT/ICS.
Pense sobre as seguintes questões:

  • quão abrangentes são as defesas atuais de seu sistema OT/ICS?
  • você estabeleceu um plano de resposta a incidentes para ataques semelhantes ao Fuxnet?
  • há dispositivos em seu sistema que ainda usam senhas padrão?
  • suas listas de controle de acesso (ACLs) são atualizadas regularmente para lidar com novas ameaças?

 
Aqui estão algumas recomendações relevantes:

1. Mitigar vulnerabilidades de senhas padrão

Um ataque cibernético que explore senhas padrão pode causar uma parada inesperada na produção de uma fábrica, interrompendo gravemente as operações. As senhas padrão, geralmente encontradas em manuais de dispositivos ou on-line, são facilmente acessíveis e oferecem uma porta aberta para sistemas críticos. É fundamental substituir as senhas padrão por senhas fortes e exclusivas, principalmente para roteadores de IoT e gateways de sensores. Devem ser realizadas auditorias regulares para verificar a conformidade, fortalecendo assim os pontos de acesso e reduzindo significativamente o risco de invasão não autorizada.

2. Implementação de listas de controle de acesso (ACLs)

As ACLs (Access Control Lists, listas de controle de acesso) atuam como gatekeepers digitais, definindo quem ou o que pode acessar partes específicas de uma rede. A implementação de ACLs em gateways restringe a comunicação apenas a dispositivos autorizados, criando um ambiente controlado. Ferramentas como o EdgeIPS da TXOne Networks podem aprender e aplicar automaticamente essas ACLs, garantindo um perímetro de segurança robusto. Revisões e atualizações regulares das ACLs são necessárias para se adaptar a novas ameaças e mudanças na rede.

3. Monitoramento de tentativas de login SSH

Tentativas fracassadas de login no SSH podem indicar ataques de força bruta, em que os invasores tentam sistematicamente diferentes senhas para obter acesso. O monitoramento dessas tentativas ajuda a identificar possíveis violações. A implementação de mecanismos de detecção de força bruta, como os oferecidos pelo EdgeIPS da TXOne Networks, pode detectar essas tentativas antecipadamente. O tratamento de falsos positivos garante que os alertas genuínos recebam atenção imediata.

4. Atualizações regulares do firmware

As atualizações de firmware são essenciais para manter o funcionamento ideal e seguro dos dispositivos OT/ICS. Essas atualizações corrigem vulnerabilidades conhecidas e aprimoram os recursos de segurança. O estabelecimento de um cronograma de rotina para atualizações de firmware em todos os dispositivos OT/ICS, com testes e aplicações imediatos, ajuda a manter a integridade e a segurança da infraestrutura, protegendo-a contra ameaças emergentes.

5. Desenvolvimento de um plano de resposta a incidentes

Um plano de resposta a incidentes prepara uma equipe para lidar com as ameaças à segurança cibernética de forma eficaz, descrevendo as etapas a serem seguidas quando ocorrer um incidente, definindo funções, protocolos de ação e de comunicação e procedimentos de recuperação. É fundamental desenvolver e atualizar rotineiramente um plano de resposta a incidentes adaptado aos ambientes OT/ICS. Exercícios regulares para testar a eficácia do plano e o refinamento contínuo com base nas lições aprendidas com os exercícios e incidentes reais aumentarão a prontidão e a resiliência.

Conclusão

O incidente do Fuxnet ressalta a importância de medidas robustas de segurança cibernética para proteger os ambientes de TO/ICS. Ao solucionar as vulnerabilidades das senhas padrão, implementar controles de acesso rigorosos, monitorar atividades suspeitas, manter o firmware atualizado e ter um plano de resposta a incidentes bem definido, as organizações podem reduzir significativamente os riscos apresentados por ataques de malware avançado.
A proteção de ambientes industriais envolve desafios exclusivos que diferem muito daqueles encontrados nas redes de TI. A TXOne Networks se concentra exclusivamente na segurança cibernética de TO, oferecendo soluções adaptadas especificamente aos equipamentos, ao ambiente e às operações diárias dos ambientes industriais.

Referências:
[1] Eduard Kovacs, “Destructive ICS Malware Fuxnet Used by Ukraine Against Russian Infrastructure,” SecurityWeek, April 15, 2024.

[2] Claroty Team82, “Unpacking the Blackjack Group’s Fuxnet Malware,” Claroty, April 12, 2024.

[3] Jai Vijayan, “Dangerous New ICS Malware Targets Orgs in Russia and Ukraine,” Dark Reading, April 18, 2024.

[4] ForeSight Team, “Unveiling the Blackjack Group’s Fuxnet Malware: A Stealthy Cyber Threat,” ForeSight, April 17, 2024.

 

SAIBA MAIS