INCONTROLLER/PIPEDREAM: amenaza APT dirigida a dispositivos SCI/SCADA
Múltiples dispositivos SCI/SCADA, incluyendo:
- PLC de Schneider Electric MODICON y MODICON Nano,
- OMRON Sysmac NEX PLC,
- servidores OPC UA,
- MODBUS,
- CODESYS.
Debido a la variedad de sistemas SCI/SCADA afectados, el número de industrias o potenciales afectados es muy amplio, especialmente en el sector energético.
Diversos organismos (DOE, CISA, NSA, y FBI) han publicado un aviso de seguridad conjunto para alertar de una amenaza APT desarrollada para atacar sistemas de control industrial y automatización (SCI/SCADA). La compañía Dragos, en su investigación sobre esta amenaza, ha utilizado el nombre PIPEDREAM, mientras que en la investigación de Mandiant se la ha denominado INCONTROLLER, desarrollada por el grupo de actividad CHERNOVITE (nombre designado por Dragos).
Este framework malicioso de SCI es modular y no explota vulnerabilidades específicas, sino que utiliza funciones estándar del protocolo CODESYS, MODBUS y OPC UA. Por tanto, las herramientas del framework se comportan como un cliente legítimo o un entorno de desarrollo para programar el controlador. El framework tiene el potencial para la interrupción, el sabotaje y potencialmente la destrucción física de las máquinas y procesos controlados, permitiendo acciones como:
- acceder a servidores OPC UA,
- enviar frames MODBUS a dispositivos,
- realizar un escaneo de la red,
- conectar a PLC,
- descargar y subir archivos, aplicaciones, configuraciones, etc.
- realizar ataques DoS.
Para su mitigación o solución es importante indicar que esta APT no utiliza vulnerabilidades al uso, sino que el framework se aprovecha de funcionalidades nativas de los sistemas SCI/SCADA afectados, y por lo tanto, no existen parches o versiones correctoras que eviten esta amenaza.
Se aconseja aplicar diferentes medidas y recomendaciones detalladas en las investigaciones de Mandiant y Dragos, así como medidas proactivas de carácter general indicadas por CISA o aquellas específicas que consideren los diferentes fabricantes (ABB, CODESYS o Schneider Electric).
Por su parte, Schneider Electric, como medidas específicas para sus productos recomienda a sus usuarios actualizar a las últimas versiones disponibles:
- EcoStruxure Machine Expert,
- EcoStruxure Machine Expert Basic,
- el firmware de los PLC, empleando las características Controller Assistant y Controller Update.
Como medidas de mitigación se recomienda realizar las siguientes acciones:
- Aislar los sistemas y redes SCI/SCADA de las redes corporativas e Internet utilizando fuertes controles perimetrales y limitar cualquier comunicación que entre o salga de los perímetros SCI/SCADA.
- Cambiar todas las contraseñas de los dispositivos y sistemas SCI/SCADA según un calendario coherente, especialmente todas las contraseñas por defecto, por contraseñas seguras y únicas para cada dispositivo.
- Habilitar la autenticación multifactor para todos los accesos remotos a las redes y dispositivos SCI, siempre que sea posible.
- Disponer de un plan de respuesta a los ciberincidentes centrado en SCI y ponerlo en práctica regularmente con las partes interesadas de TI, ciberseguridad y operaciones.
- Mantener copias de seguridad offline para una recuperación más rápida en caso de ataque.
- Aplicar el principio de mínimo privilegio.
- Limitar las conexiones de red de los sistemas SCI/SCADA únicamente a las workstations de gestión e ingeniería específicamente autorizadas.
- Asegurarse de que todas las aplicaciones solo se instalan cuando son necesarias para el funcionamiento.
- Monitorizar el tráfico de red en las comunicaciones este-oeste con tecnologías conscientes del protocolo SCI, así como el de las conexiones salientes del PLC.
- Restringir el acceso a UDP/1740-1743, TCP/1105 y TCP/11740.
- Disponer de un inventario de piezas de repuesto.
- Validar la workstation de ingeniería software.
- Análisis de telemetría de la red PLC.
- Deshabilitar el servicio Schneider NetManage.
- Aislar las plataformas de proceso modular críticas.
Mandiant también proporciona en su investigación algunas reglas de Yara para la detección de esta amenaza.
INCONTROLLER/PIPEDREAM es un framework modular malicioso de ataque a SCI, que un atacante podría aprovechar para causar interrupción, degradación e incluso destrucción, dependiendo de los objetivos y el entorno. En el contexto de la matriz MITRE ATT&CK para SCI, esta amenaza puede ejecutar el 38% de las técnicas de ataque conocidas para SCI y el 83% de las tácticas.
INCONTROLLER/PIPEDREAM incluye tres herramientas, que podrían permitir al atacante enviar instrucciones a los dispositivos SCI utilizando los protocolos de la red industrial:
- TAGRUN: escanea servidores OPC para realizar ataques de fuerza bruta;
- CODECALL: sus módulos escanean y atacan comunicaciones MODBUS, CODESYS y al menos 3 PLC de Schneider Electric;
- OMSHELL: interactúa y escanea PLC de Omron a través de HTTP, Telnet y el protocolo Omron FINS.
INCONTROLLER/PIPEDREAM logra un impacto de gran alcance a través de cinco componentes, que Dragos ha etiquetado como:
- EVILSCHOLAR,
- BADOMEN,
- DUSTTUNNEL,
- MOUSEHOLE,
- LAZYCARGO.
Estos componentes combinados permiten al atacante identificar un entorno industrial, infiltrarse en las workstations de ingeniería, explotar los controladores de procesos, atravesar las zonas de seguridad y procesos, desactivar los controladores y manipular la lógica y la programación ejecutadas. Todas estas capacidades podrían conducir a una pérdida de seguridad, disponibilidad y control de un entorno industrial, aumentando el tiempo de recuperación.
Dragos ha comunicado que no tiene constancia de que INCONTROLLER/PIPEDREAM haya sido empleado de manera activa para explotar vulnerabilidades.