APT en SCI

Fecha de publicación 25/07/2024

Autor

INCIBE (INCIBE)

Dentro del mundo de la ciberseguridad industrial, las amenazas están en continuo progreso y evolución. Para fomentar la concienciación sobre este entorno cambiante, en este artículo nos centrarnos en las APT (amenaza avanzada persistente), las cuales son actualmente especialmente ubicuas y presentan una constante evolución. Concretamente, se ahonda sobre su funcionamiento y su impacto en el mundo industrial, sin dejar de lado su definición técnica.

¿Qué son los APT industriales?

El origen del término APT, proviene de una nota publicada por un famoso diario de noticias, donde se detallaban varias campañas de ciberataques. En uno de los ciberataques publicados, se contaba cómo una unidad militar china, consiguió penetrar en las redes de comunicaciones de distintos medios de comunicación, mediante una serie de ataques de phishing y malware dirigido específicamente a dichos medios.

Este tipo de ataque se caracteriza por el gran esfuerzo necesario para llevarlo a cabo, ya que estos incidentes suelen asociarse a objetivos de alto valor (países, grandes corporaciones, etc.), aunque cada vez es más frecuente que empresas medianas y pequeñas se conviertan en objetivo de este tipo de ciberataques. Estos incidentes, no suelen estar motivados solamente por intereses económicos, sino que suelen llevarse a cabo por motivos de otra índole, como pueden ser el ciberactivismo político o la ciberguerra entre países.

El objetivo de este tipo de incidentes es conceder acceso continuo a los sistemas afectados para su posterior explotación, para ello, habitualmente se sigue una serie de pautas y procesos:

Reconocimiento: es la primera fase de la amenaza, busca observar y recabar información del objetivo, desde cualquier tipo de fuente que tengan a su disposición.
Obtención de accesos: durante esta fase, el objetivo de los ciberdelincuentes es obtener acceso dentro de la organización, aprovechando cualquier vulnerabilidad encontrada.
Intrusión: durante esta fase los ciberdelincuentes, establecen puertas traseras y conductos, para indagar en la organización de manera desapercibida y prolongada en el tiempo.
Infiltración: una vez establecidos los accesos, los atacantes buscan realizar escaladas de privilegio para tener mayor capacidad de manipular procesos dentro de la organización.
Reconocimiento y movimientos: una vez conseguidos mayores privilegios, el objetivo es pivotar, es decir, desplazarse dentro de la organización para obtener accesos a otros departamentos dentro de la organización (red corporativa, red industrial, acceso a los distintos servidores).
Explotación: por último, el atacante realiza un aprendizaje avanzado sobre el funcionamiento y las vulnerabilidades de los sistemas, obteniendo la información necesaria para cumplir sus objetivos.

Imagen que muestra las fases de la respuesta a incidentes: preparación, identificación, contención, erradicación y recapitulación.

- Diagrama de fases. Fuente -

APT en entornos industriales

Durante los últimos años, las APT han ido evolucionando y con ello sus objetivos. En concreto, el sector industrial se ha convertido en uno de los objetivos principales de esta amenaza, debido a una serie de factores que han jugado un papel crucial en este incremento:

Factor humano: durante el proceso de acceso a las redes OT para empleados o terceros, a menudo se pasan por alto factores fundamentales, como la formación o la concienciación de ciberseguridad, lo que causa lagunas de conocimiento que suelen ser aprovechadas por el atacante. Ejemplos de ataques que aprovechan estas situaciones irían, desde la intrusión mediante phishing o ingeniería social, hasta la explotación mediante el propio personal interno. Por este motivo, muchas organizaciones están optando por soluciones Zero Trust y la aplicación del principio de mínimos privilegios posibles.
Conexiones IT/OT: en muchas plantas industriales conviven activos IT y OT en la misma red. Esto es un riesgo, ya que estos equipos suelen introducir nuevos vectores de ataque a activos previamente desprotegidos, pero aislados. Por ello, es importante aplicar segmentación y segregación de red, separando las redes OT e IT, cuyos requerimientos de seguridad son distintos.
Protección de activos OT: es habitual que los equipos instalados en planta dispongan de activos desactualizados o fuera de soporte, ya que en el mundo industrial los equipos cuentan con dispositivos con largos ciclos de vida. Por ello, es normal que se encuentren equipos con sistemas operativos o claves sin soporte, aplicaciones y bases de datos desactualizadas, componentes de seguridad desactivados, etc. Todo ello sumado a peculiaridad de que los equipos OT pueden ser difíciles de actualizar ya que algunas de las actualizaciones podrían afectar a la operatividad de los sistemas utilizados, contribuyendo a que las APT puedan propagarse con mayor rapidez y facilidad. Una buena solución a estos problemas es aplicar una buena configuración a aplicaciones y dispositivos, de forma que proporcionen seguridad de manera pasiva y entablar relaciones de colaboración con los proveedores para facilitar el mantenimiento y actualización de los equipos.
Protección de endpoints OT: en muchas de las plantas industriales actuales, no se cuenta con soluciones de ciberseguridad para endpoints. Aunque a primera vista estos dispositivos estén aislados de las redes corporativas, no solo es habitual que estos dispositivos se conecten a múltiples redes o sirvan como herramienta para pasar datos entre los sistemas IT y OT, los atacantes también pueden intentar acceder a ellos con versiones de malware adaptadas, a través de unidades USB o mediante phishing. Por ello, es importante contar con un buen bastionado, monitorización y entrenamiento en el uso seguro de estos dispositivos…

APT industriales

Durante los últimos años han surgido nuevos APT, más avanzados y especializados, para entornos industriales, pudiendo acceder a la información de los sistemas de control industrial (SCI), afectar a la producción de las plantas o incluso provocar daños físicos mediante el envío de instrucciones a los SCI.

Aunque hoy en día, gracias a los análisis forenses realizados en los últimos años, podemos comprender cual es el funcionamiento de estos tipos de ataques, a continuación, se exponen algunos ejemplos de malware utilizado en estos ataques.

FourteenHi

Es una familia de malware descubierta en 2021, orientado a entidades gubernamentales. En 2022, se descubrió una variante especializada para el sector industrial.

Existen dos variantes de FourteenHi disponibles, según la arquitectura usada (x86 y x64). Aunque cuenten con diferentes estructuras, ambas poseen protocolos de comunicación C2 (comando y control) y una serie de comandos utilizados para extraer información. A continuación, se muestran las funciones y diferencias de las diferentes versiones:

La versión para equipos con versión x64 tienen capacidades de persistencia y un protocolo de comunicación en dos pasos. El primer paso sería la ejecución de comandos como:
- subir archivos de forma arbitraria,
- descargar archivos de forma arbitraria,
- ejecutar comandos de forma arbitraria,
- establecer retrasos en las comunicaciones,
- iniciar una Shell inversa,
- finalizar procesos y eliminar persistencia.
El segundo paso, permite proteger las comunicaciones de C2 mediante la API de la biblioteca OpenSSL, a la que se encuentra vinculada. Además, esta variante utiliza el protocolo RC4 para cifrar y descifrar los datos enviados por C2, estableciendo las comunicaciones de forma segura para el atacante.
Los equipos infectados con la versión x86 no cuenta con capacidades de persistencia, ni están vinculados a OpenSSL, aunque sigue utilizando los protocolos de cifrado RC4 para sus comunicaciones. Este malware, a diferencia de la versión x64, se realiza en un único paso. Este tipo de código es ideal para momentos iniciales de la infección de los equipos, ya que se puede recuperar la información de un host o de la red local, descargar malware incluso recopilación para etapas del ataque.

El esquema de funcionamiento es muy semejante para todas las variantes, constando de tres componentes principales para implementar el código en la máquina víctima.

explotar una aplicación legítima vulnerable a la suplantación de DLL;
un archivo binario que contiene la información del malware, cifrado con RC4;
una DLL maliciosa la cual la suplanta la original. Esta aplicación lee y ejecuta la carga útil del malware para inyectarla en algún proceso activo del sistema (svchost.exe, msiexec.exe…).

MeatBall Backdoor

Esta APT fue reportada por primera vez en organizaciones industriales de Europa del Este, basada en arquitecturas x86 y x64. Su funcionamiento consiste en establecer puertas traseras, implementando capacidades de acceso remoto, creando listas de procesos de ejecución, dispositivos, discos conectados, etc.

Igual que FourteenHi, se basa en la técnica del secuestro de DLL, pero guardando el propio binario dentro del DLL malicioso, en lugar de hacerlo en un archivo independiente.

Una vez que se ejecuta mediante una aplicación legítima, implanta los parámetros mediante “lsNTAdmin”, incluso si dicha aplicación obtuviera permisos de administrador, crea un servicio llamado “esetcss” que se ejecuta al iniciar el sistema operativo. En ambos casos, implanta la carga útil descifrando una clave XOR de un byte e inicia la tarea “svchost.exe”, utilizando dicho servicio con la carga inyectada, lo que permite establecer la comunicación C2 principal mediante la tarea iniciada.

Yandex Cloud as C2

APT reportada en abril de 2022 que afecto a varias empresas rusas de medios de comunicación y compañías energéticas. Su funcionamiento consistía en obtener información del host infectado mediante el secuestro de una DLL legítima, igual que los ejemplos presentados anteriormente. Para la ejecución del código se utiliza la librería “libcurl.dll” vinculada a las comunicaciones SSL.

Como primer paso, crea una exclusión llamada “Njg8”, evitando ejecutar más instancias del propio malware en cualquier momento. Tras ello recopila información del host como:

nombre del equipo,
nombres de usuarios,
dirección IP,
dirección MAC,
versión del sistema operativo,
rutas de acceso a %System%.

Para el envío de los datos recopilados por C2, el malware envía una solicitud a la API, para crear un directorio con un nombre único para el host. Tras esto, crea un archivo con prefijo “1770_ y la extensión “.dat” donde guarda la información recopilada.
Después, inicia su bucle principal, en el que comprueba periódicamente que una carpeta llamada “content” se encuentra ubicada en la nube de Yandex para detectar instrucciones de los atacantes o extraer información sensible de la víctima.

En esta carpeta se ubican los últimos archivos cargados con la información de la víctima, encriptados mediante RC4. Una vez dentro busca los archivos con prefijos “1780_”, “1781_” y “1784_”.

Los archivos con prefijo “1780_” y “1781_” contienen la información en formato PE (Portable Executable), desde donde el malware extrae nuevas cargas útiles para su ejecución.
Los archivos con prefijo “1784_” contienen comando para ejecutar mediante cmd.exe, con el cual extrae información del host infectado, que se envía por C2 y se elimina del dispositivo infectado.

Conclusión

Como se ha visto a lo largo del artículo, las APT son ataques altamente especializados, dirigidos y que suelen prolongarse en el tiempo. Una de las herramientas favoritas de los atacantes en una APT es el uso de malware muy específico, a veces especialmente diseñado para afectar a los sistemas de una víctima concreta, lo que hace que sea muy difícil de detectar una vez se introduce dentro de las organizaciones.

Aunque hoy en día existen herramientas y procedimientos que permiten controlar este tipo de amenazas y minimizar su impacto, estas requieren de un buen nivel de madurez en el estado de la ciberseguridad de la víctima y el seguimiento de buenas prácticas en la operativa diaria.

En definitiva, hoy en día es muy probable que una organización industrial sea susceptible a este tipo de ataques, especialmente si opera como una infraestructura crítica o presenta un objetivo estratégico para potenciales atacantes. Por tanto, no es posible confiar en que un sistema desprotegido pasará desapercibido permanente. Aplicar las medidas adecuadas de protección y prevención, aunque requiera una inversión de recursos inicial en comparación con ignorar los riesgos de ciberseguridad de estas amenazas, es esencial para asegurar la continuidad de la operativa y prevenir daños, gastos mayores y consecuencias legales en caso de incidente.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas