CO OHROŽUJE ICS A KASPERSKY LAB VIEW Kirill Kruglov, Kaspersky Lab
TYPY INCIDENTŮ Náhodná infekce (tradičním) malwarem Útok zevnitř systému Cílené útoky (včetně APT)
PROBLÉM DETEKCE Dohled na sítí je nedostatečný nebo zcela chybí Nedostatek zkušeností s malwarem nebo jeho úplná neznalost: příčinou všech problémů nebo chybné funkce jsou počítačové viry bez přispění odborníků třetích stran je obtížné detekovat neznámý malware Je jednodušší systém přeinstalovat, než hledat příčiny problémů Aplikace SCADA nemohou mít digitální podpis
ENERGETIC BEAR / CROUCHING YETI Masivní útok APT (Advanced Persistent Thread) od roku 2010, 2 800+ obětí na celém světě Energetika, strojní výroba, farmaceutický průmysl Šíření prostřednictvím: emailů s exploitem infikovaných legitimních webových stránek ( strategie watering hole) infikovaných (znovu sbalených) legitimních instalačních balíčků Legitimní webové stránky kompromitované jako řídicí centra Obsahuje množství různého malwaru: trojans, backdoors a exploit packs
INFIKOVANÉ INSTALAČNÍ BALÍČKY Znovu sbalené legitimní instalační balíčky uložené na webových stránkách nebo FTP dodavatelů: ewon dodavatel softwaru SCADA a síťových komponent z Belgie MB Connect Line GmbH dodavatel softwaru pro vzdálenou správu PLC "MESA Imaging AG" výrobce vysokorychlostních 3D kamer a snímačů (Švýcarsko)
ÚTOKY WATERING HOLE Infikované webové zdroje: gse.com.ge gruzínská státní elektrorozvodná síť gamyba.le.lt největší litevský provozovatel elektráren chariotoilandgas.com - Chariot Oil and Gas Ltd longreachoilandgas.com - Longreach Oil & Gas Ltd vitogaz.com distributor plynu se sídlem ve Francii, dodávky a technický vývoj
HAVEX ZAMĚŘENÝ NA OPC Seznam portů využívaných malwarem Havex pro sledování OPC : 502 - Modbus 102 PLC Siemens 11234 - Measuresoft ScadaPro 12401 SCADA 7-Technologies IGSS 44818 - Rockwell Rslinx / FactoryTalk
SLABÁ MÍSTA SCADA
ZPRÁVA US ICS-CERT (ICSA-14-178-01) Havex zjišťuje zvláště informace o OPC serverech, např. CLSID, jméno serveru, program ID, verzi OPC, informace o dodavatelích, provozní stav, group count a šířku pásma serveru. Kromě generických informací o OPC serveru dokáže Havex také přejmenovat proměnné OPC. Testy ICS-CERT zjistily, že Havex může způsobit poruchu na společných platformách OPC. To může být příčinou incidentu DoS v aplikacích závislých na OPC == smrtelný ping
MIANCHA Dne 2. ledna 2014 zjistil administrátor jaderné elektrárny Monju Nuclear Power mnohočetná připojení na osmi PC v řídicím středisku reaktoru. Příčina zákeřný update GOM Media Player instalovaný před pěti dny. Na postižených PC bylo 42 000+ emailů a dokumentů. Některé z nich byly odcizeny.
CITADEL
BLACKENERGY 2 fs ps ss vsnet rd scan jn cert grc sn usb File search, network and system Password collector (stealer) Screenshot maker Network spreading via RDP Remote desktop Port Scan File infector Digital certificate stealer Backup communication channel via plus.google.com Network traffic credential (login:password) extractor USB drives information collector CnC Server <plugins> <plugin> <name>plugin_win</name> <version>3</version> </plugin> <plugin> <name>plugin_mps</name> <version>1</version> </plugin> </plugins>
ROUTER PWN Jak často aktualizujete firmware síťových routerů?
ROZHRANÍ HUMAN-MACHINE INTERFACE ONLINE
NAPADENÍ VEŘEJNÉ KOMUNÁLNÍ FIRMY V USA Velká komunální americká firma byla napadena masivním útokem, který se snažil obejít bezpečnostní nastavení, aby došlo k infiltrování systému. Software používaný ke správě řídicího systému byl dostupný prostřednictvím internetových hostitelů. Systémy byly konfigurovány s možností přístupu na dálku a využívaly jednoduchý mechanismus hesel; ovšem metoda autentizace byla napadena standardním masivním útokem. (US ICS-CERT Monitor Q1 2014)
Ochrana koncových uživatelů nestačí!
METODY INFILTRACE Podnikovou sítí Prostřednictvím zaměstnanců Prostřednictvím dodavatelů
METODY INFILTRACE: SOCIÁLNÍ INŽENÝRSTVÍ
METODY INFILTRACE: EMAILOVÝ PHISHING
METODY INFILTRACE: EMAILOVÝ PHISHING
METODY INFILTRACE NÁSTROJE ÚTOČNÍKŮ
KYBERNETICKÁ SABOTÁŽ Co je třeba k útoku: hacker inženýr vývojář softwaru SCADA drahý hardware čas
NSA Journal of Information Warfare Simulace útoku na SCADA
SIMULACE ÚTOKU NA SCADA: CÍL Najít možnost, jak získat úplnou kontrolu nad ICS: S využitím jen dobře známých, zdarma a veřejně dostupných softwarových prostředků a běžného hardwaru Bez využití útoku nultého dne nebo vývoje nových exploitů Odborníci na zabezpečení IT, ale ne inženýři ICS
SIMULACE ÚTOKU NA SCADA: TESTOVACÍ PROGRAM Vytvořený a nastavený ve shodě s doporučeními společnosti Siemens Siemens PCS7 (WinCC, STEP 7) Siemens PLC S7-317 a dvě S7-414 Ethernet a PROFIBUS, ethernetové switche Siemens SCALANCE X-200/300 Segmentace sítě prostřednictvím firewallů Siemens SCALANCE S-612, všechna zařízení ICS jsou v interní síti.
SIMULACE ÚTOKŮ NA SCADA TESTOVACÍ PROGRAM V reálném světě běžné nastavení podle dodavatele Žádné zvláštní požadavky na správu hesel Žádná IDS Žádné aktualizace Žádné řízení konfigurace
SIMULACE ÚTOKU NA SCADA: NÁSTROJE ÚTOČNÍKŮ Kali Linux Metasploit NMap Příkazový řádek
SIMULACE ÚTOKU NA SCADA Krok 1: Skenování sítě zvnějšku prostřednictvím NMap, zjištěny firewally a pracovní stanice Krok 2: Skenování portů pracovních stanic, odhalení SNMP s defaultním nastavením (heslo password ) Krok 3: Sběr informací o verzi OS prostřednictvím NMap přes SNMP (Windows XP SP3), o uživatelích, běžících službách a procesech, sdílených složkách, instalovaném softwaru a aktualizacích Odhalen Microsoft SQL Server 2005 s databází WIN CC využívající nestandardní port 1031 (místo 1433)
SIMULACE ÚTOKU NA SCADA Krok 8: Po pečlivém zkoumání byl odhalen konfigurační soubor a utilita pro firewall Siemens SCALANCE S-612. Siemens doporučuje nastavovat firewally z vnější sítě (Siemens AG 2005). I kdyby nebyla nalezena konfigurační utilita, bylo by možné zkusit odhalit heslo masivní výpočetní silou (tento firewall má bezpečnostní slabinu podle ICS-CERT 2012). Krok 9: Přihlášení k firewallu otevřelo přístup k interní síti Krok 10: Pomocí Metasploit byl proveden ARP-scan interní sítě a získán seznam interních zařízení
SIMULACE ÚTOKU NA SCADA Krok 11: pomocí administrátorského účtu pracovní stanice (přístup byl získán v předchozích krocích) bylo možné se připojit do interní sítě Krok 12: Získána plná kontrola nad technologickými procesy prostřednictvím WinCC Explorer nebo WebNavigator Úkol splněn
ZÁVĚR Existuje více kybernetických hrozeb, než jsme zde uvedli (a než si myslíme) Téměř všechny APT mohou ohrozit průmyslové systémy Většina APT dokáže překonat vzduchovou mezeru (Turla, MiniDuke, RedOctober, Fanny ) Zabezpečení koncových zařízení nestačí! (ale je potřebné)
NAŠÍM CÍLEM JE OCHRÁNIT PŘED KYBERNETICKÝMI ÚTOKY KAŽDÉHO 300 miliónů uživatelů po celém světě je chráněno našimi prostředky 200 států a zemí na celém světě, kde působíme
NEDÍLNOU SOUČÁSTÍ NAŠÍ STRATEGIE JE VÝZKUM V OBLASTI KYBERNETICKÝCH HROZEB The Global Research and Analysis Team elitní skupina odborníků na zabezpečení dat Odhaluje, jak pracují nové kybernetické zbraně Predikce hrozeb
RESPEKT U NEJVÝZNAMNĚJŠÍCH ORGANIZACÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI Eugene Kaspersky at 82nd session of the General Assembly, 2013 Spolupráce s mezinárodními organizacemi, jako jsou INTERPOL, Europol, CERTs Detekce a ochranná opatření před jakýmkoliv malwarem, bez ohledu na původ a cíl útoku
NAŠI VEDOUCÍ POZICI POTVRZUJÍ NEZÁVISLÉ PRŮZKUMY 100% 80% 60% 40% Score of TOP 3 places 79 nezávislých testů a průzkumů 41 prvních míst 61 umístění v TOP 3 Avira Bitdefender Sophos Eset F-Secure Symantec Kaspersky Lab BullGuard G-Data Trend Micro 20% Microsoft AhnLab McAfee Panda AVG 0% 0 20 40 60 80 Avast N of independent tests/reviews
NAŠE PROSTŘEDKY JSOU VYSOCE HODNOCENÉ ANTI-MALWARE APPLICATION CONTROL WITH DYNAMIC WHITELISTING SYSTEM MANAGEMENT SECURE FINANCIAL MOBILE AND PATCH SECURITY TRANSACTIONS MANAGEMENT
ANALYTICI SOUHLASÍ: KASPERSKY LAB MÁ VEDOUCÍ POZICI NA TRHU 2014. A Leader. Magic Quadrant for Endpoint Protection Platform* A leader in the Forrester Wave for Endpoint Security, The Forrester Wave : Endpoint Security, Q1 2013** Leader in IDC MarketScape*** * Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. ** The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. *** IDC's Go-to-Market Services (GMS) offers webrights and reprints of IDC research to support your marketing initiatives. GMS can also help you to leverage IDC's globally respected brand by delivering custom content and multimedia deliverables which are drawn from research and analysis independently conducted and published by IDC analysts. Learn more here or contact us at gms@idc.com
PARTNEŘI KL ICS 38 Kaspersky Lab Strategy
DĚKUJI!