Фокус номера: кибербезопасность в нефтегазовой отрасли
Типовые сценарии атак на нефтегазовую отрасль
СЦЕНАРИЙ 1.
Нигерийский фишинг
В конце 2017 года Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) сообщил о фишинговых атаках, нацеленных, преимущественно, на промышленные компании: металлургические, электроэнергетические, строительные, инжиниринговые и другие. Как показали дальнейшие исследования, это была лишь часть большой истории, которая началась много раньше и вряд ли скоро закончится.
Целевая атака
В 2016-2017 годах на компьютерах наших заказчиков с установленной системой АСУ ТП продукты «Лаборатории Касперского» зафиксировали всплеск попыток заражений вредоносным ПО – определенной модификацией эксплойта к старой уязвимости 2015 года.
Дальнейшее изучение данного инцидента привело нас к фишинговым сообщениям, замаскированным под деловую переписку. Именно они использовались для распространения эксплойта.
Фишеры довольно давно оценили преимущества атак на компании (очевидно, что на счетах нефтянки гораздо больше денег, чем у рядовых пользователей, и суммы сделок предприятий обычно больше сумм сделок частных лиц). Письма, рассылаемые в таких атаках, составлены так, чтобы получивший письмо сотрудник счел письмо легитимным и без колебаний открыл вредоносное вложение.
В данном случае мы имели дело с хорошо продуманным фишингом, нацеленным не просто на коммерческие организации, но в подавляющем большинстве – на промышленные предприятия. Всего мы обнаружили более 500 атакованных компаний более чем в 50 странах мира, большая часть которых – промышленные и крупные транспортные и логистические предприятия.
Письма
Письма рассылались от имени различных компаний-контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счету, уточнить расценки на продукцию или получить груз по накладной.
Фишеры явно постарались, чтобы их подделки выглядели весьма убедительно для сотрудников атакованных предприятий. Среди названий вложений нам встречались, например, «Energy & Industrial Solutions W. L.L_pdf», «Woodeck Specifications best Prices Quote.uue» и «Saudi Aramco Quotation Request for October 2016».
Вредоносные файлы
Во всех сообщениях были вредоносные вложения: RTF-файлы с эксплойтом к уязвимости CVE 2015-1641, архивы различных форматов, содержащие вредоносные исполняемые файлы, а также документы с макросами и OLE-объектами, скачивающими вредоносные исполняемые файлы.
В конце 2017 года нашим почтовым антивирусом ежедневно детектировалось от нескольких сотен до нескольких тысяч писем с данным эксплойтом к уязвимости CVE 2015-1641. Характерно для таких рассылок то, что количество рассылаемых писем разное, в зависимости от дня недели – в выходные таких писем меньше, чем в рабочие дни.
В этих атаках использовались популярные у злоумышленников программы семейств ZeuS, Pony/FareIT, LokiBot, Luminosity RAT, NetWire RAT, HawkEye, ISR Stealer, iSpy keylogger. Фишеры выбрали инструментарий с нужной им функциональностью среди вредоносных программ, которые продаются на киберкриминальных форумах. А вот упакованы эти программы были VB- и.NET-упаковщиками, которые мы видели преимущественно в данной кампании. Для обхода детектирования средствами защиты вредоносные файлы регулярно переупаковывались новыми модификациями этих же упаковщиков.
Злоумышленники использовали вредоносные программы, по меньшей мере, восьми различных семейств троянцев-шпионов и бэкдоров. Всё вредоносное ПО, выбранное для атак, предназначено, прежде всего, для кражи конфиденциальных данных и установки скрытых средств удалённого администрирования заражённых систем.
Домены, используемые злоумышленниками
Часть доменных имен серверов управления вредоносным ПО, которые использовали злоумышленники, была замаскирована под имена доменов легитимных промышленных компаний – еще одно подтверждение того, что атаки были направлены, в первую очередь, на индустриальные компании.
Анализируя эти доменные имена, можно понять, какую тактику при их создании применяют фишеры. Они пытаются зарегистрировать такое же доменное имя, как у легитимного ресурса атакуемой компании, но в другой доменной зоне. Если это невозможно, злоумышленники регистрируют домен с именем, которое выглядит очень похожим на имя легитимного домена (стандартный прием – заменить одну или несколько букв). В исследуемой нами атаке мы отметили еще один прием – имя домена составляется из имени легитимного сайта и названия его доменной зоны.
В некоторых случаях злоумышленники несанкционированно получали доступ к легитимным веб-сайтам промышленных компаний и использовали их в качестве площадки для хостинга вредоносного ПО и командных серверов. Доступ к веб-сайтам осуществлялся при помощи аутентификационных данных, украденных с ранее заражённых компьютеров сотрудников компаний.
Взломанный легитимный сайт
В ходе нашего расследования мы обнаружили, что, согласно публичной информации, предоставляемой сервисами Whois, большая часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии. По всем признакам, это была одна из атак типа Business Email Compromise (BEC), которыми в последние годы «славятся» нигерийские злоумышленники.
Сценарий атаки
Атаки типа Business Email Com-promise хорошо известны. На сегодняшний день описано несколько сценариев таких атак. Некоторые из них и были применены в исследуемых нами целевых атаках.
На первом этапе фишеры распространяют письма с вредоносными вложениями – троянцами-шпионами или бэкдорами. Все используемые вредоносные программы доступны на черном рынке. Примечательно, что полный комплект ПО для осуществления такой атаки стоит, как правило, не более 200 долларов США.
Помимо прочего, мы обнаружили письма, отправленные со взломанных ящиков сотрудников компаний, в которых злоумышленники рассылали на корпоративные адреса других компаний сообщения с вредоносными программами.
Заразив корпоративный компьютер, злоумышленники получают возможность снимать скриншоты переписки с помощью вредоносных программ, либо поставить скрытое перенаправление сообщений почтового ящика атакованного компьютера на собственный почтовый ящик. Это дает им возможность отслеживать, какие сделки купли-продажи готовятся в компании.
Выбрав из готовящихся транзакций наиболее перспективную для себя, атакующие регистрируют домены, имена которых очень похожи на имена продающих компаний. Используя эти домены, преступники могут осуществлять атаку типа «man-in-the-middle»: они перехватывают сообщение с инвойсом от компании-продавца и пересылают с почтового ящика на фишинговом домене это же сообщение покупателю, заменив реквизиты компании-продавца на реквизиты счета, который принадлежит атакующим. Либо присылают от имени продавца в дополнение к легитимному сообщению с инвойсом запрос на срочное изменение реквизитов.
Охота на крупную рыбу
Злоумышленники заинтересованы в том, чтобы за один раз украсть как можно больше денег. Поэтому в 2017 году в числе атакованных компаний были отмечены крупные корпорации.
Средняя стоимость сделки купли-продажи у промышленных компаний также может быть достаточно высокой. И в том же 2017 году некоторые нигерийские фишеры, видимо, это оценили. Мы считаем, что некая группа (или несколько сотрудничающих групп) нигерийских фишеров в качестве мишеней для своих атак в 2017 году выбрали преимущественно индустриальные, энергетические и транспортные компании.
В исследованных «Лабораторией Касперского» атаках среди потенциальных жертв на долю промышленных компаний приходится свыше 80%.
Возможные потери
Нигерийские фишинговые атаки для индустриальных компаний особенно опасны. В случае успешной атаки компания-покупатель не только теряет деньги, но и не получает вовремя покупаемый товар. Для промышленных компаний это может быть весьма критичным: если этот товар, например, сырье, используемое в производстве, или необходимые для ремонта оборудования запчасти, то возможен и останов производства, и срыв сроков выполнения регламентных и пуско-наладочных работ.
Однако это не все возможные последствия. Программы-шпионы, которые используют фишеры, пересылают на свои командные серверы различную информацию с зараженных машин.
Мы проанализировали данные с некоторых командных серверов, использующихся в атаках 2017 года. Количество и содержание попавших к нигерийским фишерам данных вызывают неподдельную тревогу. Злоумышленники получают доступ в том числе к информации, касающейся основной деятельности и основных активов индустриальных компаний, такой как информация о контрактах и проектах.
Так, например, на серверах управления вредоносным ПО среди снятых злоумышленниками скриншотов были обнаружены различные сметы работ и планы ведущихся предприятиями проектов.
Помимо того, мы нашли скриншоты, которые явно были сделаны не на компьютерах проектных менеджеров и специалистов отделов закупок, а с рабочих станций операторов, инженеров, проектировщиков и архитекторов. На них видны, например, чертежи, планы зданий, схемы электрических и информационных сетей. Очевидно, что для атакуемых компаний нигерийская фишинговая атака, помимо прямой финансовой потери по какой-то конкретной сделке, таит и прочие, возможно, более значительные угрозы.
Вредоносная фишинговая кампания продолжается, и вряд ли она прекратится в обозримом будущем. Очень опасно, если в результате заражения злоумышленники получают доступ к компьютерам, являющимся частью АСУ ТП. В таких случаях они могут получить удаленный доступ и возможность нелегитимного управления технологическими процессами.
Удаленный доступ к машинам со SCADA дает возможность злоумышленникам просто выключить промышленное оборудование или поменять настройки его работы. Известны случаи, когда хакеры меняли что-либо в параметрах технологического процесса даже без очевидного злого умысла – просто из любопытства. В 2015 году компания Verizon опубликовала отчет об атаке на одну из американских компаний, отвечающую за водоснабжение. В ходе атаки злоумышленникам удалось проникнуть в систему управления и изменить количество химических реагентов, применяемых при очистке воды, подаваемой в водопровод, и мощность потока. При этом, по оценке экспертов Verizon, хакеры не понимали, к чему могут привести вносимые ими изменения, и меняли настройки случайным образом. В таком контексте остается надеяться, что интересы нигерийских фишеров ограничиваются кражей денег, и они не станут «крутить ручки» АСУ ТП.
К сожалению, нет никаких гарантий, что доступ к компьютерам промышленных предприятий, в том числе со SCADA, не получат люди, которые стремятся совершить диверсию на предприятии.
Меры защиты
Для противодействия атакам с использованием методов социальной инженерии необходимо:
- Регулярно проводить инструктаж сотрудников о правилах безопасности при работе с интернетом и электронной почтой.
- Научить сотрудников элементарным правилам кибергигиены: не открывать подозрительные ссылки и вложения, внимательно проверять адреса отправителей и получателей, названия компании и реальные имена доменов, с которого отправлено письмо.
- Рассказывать сотрудникам не только о возможных технических средствах, применяемых злоумышленниками, но и об используемых ими мошеннических схемах.
- При совершении транзакции в случае получения от продавца запроса на неожиданное изменение реквизитов, схем оплаты и прочих параметров совершения сделки, лучше связаться с продавцом по телефону или другим независимым от почты способом и получить подтверждение изменений.
Для минимизации рисков заражения и последствий атак компаниям рекомендуется предпринять следующий минимальный набор защитных мер:
- Установить защитное решение на все рабочие станции и серверы, где это возможно.
- Поддерживать защитное ПО, базы сигнатур, эвристик и решающих правил в актуальном состоянии.
- По возможности своевременно устанавливать обновления операционной системы и программного обеспечения.
- В случае подозрения компрометации системы выполнить смену паролей ко всем аккаунтам, использованным на этой системе.
- Своевременно передавать подозрительные письма, вложения, имена доменов на анализ квалифицированным специалистам, например, специалистам Kaspersky Lab ICS CERT.
В промышленных информационных системах, состав и конфигурация которых не должны быстро меняться со временем, особенную эффективность демонстрирует применение технологий контроля запуска приложений и контроля подключения внешних устройств, настроенных в режиме «белого списка»; технологии контроля поведения приложений; защиты от сетевых атак.
Кроме этого, мы рекомендуем:
- Установить средства пассивного мониторинга сетевой активности промышленной сети, с возможностью обнаружения новых устройств, подозрительных сетевых подключений, сетевых коммуникаций вредоносного ПО. Такие средства позволят обнаружить и отследить проникновение злоумышленника в сеть предприятия. Некоторые из подобных средств весьма просты в установке и не требуют изменения состава или конфигурации самих систем АСУ ТП, что немаловажно.
- Установить средства глубокого анализа сетевого трафика промышленной сети и обнаружения команд, способных привести к нарушению технологического процесса. Применение данного класса систем абсолютно необходимо для обнаружения и своевременного предотвращения сложных атак, нацеленных на нанесение прямого физического ущерба предприятию внешними высококвалифицированными злоумышленниками или внутренними нарушителями. Подобные технологии также могут быть реализованы пассивным образом, и их применение никак не сказывается на функционировании систем АСУ ТП.
- Минимизировать состав и количество используемого в сегментах АСУТП ПО.
- Не разрешать непроизводственное использование компьютеров, входящих в состав АСУ ТП. Для реализации этих двух мер можно также воспользоваться средствами контроля запуска приложений, входящих в состав средств защиты конечных узлов.
Качественное и правильно настроенное средство защиты помогает обезопасить предприятие от подавляющего большинства случайных заражений и многих целевых атак, особенно выполненных с применением не слишком сложного инструментария.
СЦЕНАРИЙ 2.
Атаки на серверы энергетического сервера (группировка energetic bear/ crouching yeti)
Energetic Bear/Crouching Yeti – широко известная APT-группа, действующая, по крайней мере, с 2010 года. Как правило, участники группы атакуют различные компании с явным фокусом на энергетику, нефтянку и промышленность. Атакованные Energetic Bear/Crouching Yeti компании разбросаны по всему миру с заметным преобладанием Европы, США, РФ и СНГ. В 2016-2017 годах количество атак значительно выросло.
Основная тактика группы включает рассылку фишинговых писем с вредоносными документами, а также заражение различных серверов. Некоторые зараженные серверы используются группой как вспомогательные – только для размещения различного инструментария и его логов. Другие заражаются специально для того, чтобы использовать их в waterhole-атаках и добраться с их помощью до основных целей.
Атака типа Waterhole
Заражение серверов типа Waterhole осуществляется по одному и тому же шаблону: на веб-страницу или в JS-файл внедряется ссылка со схемой file следующего вида: file://IP/filename.png.
По ссылке инициируется запрос картинки, в результате которого пользователь подключается к удаленному серверу по протоколу SMB. В данном типе атаки целью злоумышленников является извлечение из сессии следующих данных:
- IP пользователя,
- имя пользователя,
- имя домена
- NTLM-хеш пароля пользователя.
Отметим, что картинка, которая запрашивается по ссылке, физически на удаленном сервере не присутствует.
Сканируемые ресурсы
Скомпрометированные серверы в некоторых случаях используются для совершения атак на другие ресурсы. В ходе исследования зараженных серверов были выявлены многочисленные сайты и серверы, которые атакующие сканировали различными инструментами, такими как nmap, dirsearch, sqlmap и другими (описание утилит дано ниже).
- Некоммерческая организация
- Продажа наркотиков
- Туризм/карты
- Ресурсы, созданные на платформе Bump (платформа для корпоративной социальной сети)
- Бизнес-фотостудия
- Промышленное предприятие
- Строительная компания
- Производство дверей
- Обмен криптовалюты
- Информационно-аналитический строительный портал
- Личный веб-сайт веб-девелопера
- Веб-сервер со множеством сайтов (сайты выпускников, промышленных, инженерных компаний и др.)
- Мусульманский сайт знакомств
- Очистка и переработка воды
- Отели
- Посольство
- Разработчик ПО
- Сайт аэропорта
- Сайт городского совета
- Производитель косметики
- Религиозный сайт
- Интернет-магазин канцтоваров
- Цветочный бизнес
- Фотохостинг
- Онлайн-курс по продажам
- Дилер агротехники и запчастей
- Онлайн-магазин деталей для ремонта бытовой техники
- Продажа древесины, строительство
- Сайт теннисного клуба
- Интернет-магазин для фермеров
- Интернет-магазин массажного оборудования
- Интернет-магазин одежды
- Создание и продвижение сайтов
Используемый инструментарий
- Nmap – утилита с открытым исходным кодом для исследования сети и проверки безопасности.
- Dirsearch – простой инструмент командной строки, предназначенный для брутфорса (поиска путём полного перебора) директорий и файлов на веб-сайтах.
- Sqlmap – инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатации уязвимости SQL-инъекции и захват серверов баз данных.
- Sublist3r – инструмент на python для перечисления поддоменов веб-сайтов. Использует разведку на основе открытых источников (OSINT). Sublist3r поддерживает многие поисковые движки, такие как Google, Yahoo, Bing, Baidu и Ask. Sublist3r, а также сервисы Netcraft, Virustotal, ThreatCrowd, DNSdumpster и Инструмент помогает тестерам на проникновение собрать информацию по поддоменам для домена, который они исследуют.
- Wpscan – сканер уязвимостей WordPress, работающий по принципу «чёрного ящика», т. е. без доступа к исходному коду. Он может быть использован для сканирования удалённых сайтов WordPress в поисках проблем безопасности.
- Impacket – инструментарий для работы с различными сетевыми протоколами, необходим для SMBTrap.
- SMBTrap – инструмент для логирования данных, полученных по протоколу SMB (IP-адрес пользователя, имя пользователя, имя домена, NTLM-хеш пароля).
- Commix – инструмент на python, предназначенный для поиска и эксплуатации уязвимостей веб-приложений типа инъекции команд (command injection and exploitation tool).
- Subbrute – инструмент для перечисления поддоменов для Python и Windows, который использует открытый определитель имен в качестве прокси и не отправляет трафик на целевой DNS-сервер.
- PHPMailer – инструмент для отправки почты.
- Также на одном из серверов был обнаружен самописный python скрипт с именем ftpChecker.py для проверки FTP-хостов из входного списка.
Поведение злоумышленников на скомпрометированных серверах
Помимо использования скомпрометированных серверов для сканирования многочисленных ресурсов, были выявлены и другие действия атакующих. После получения доступа к серверу, злоумышленники в разные периоды времени устанавливали необходимый им инструментарий. В частности, на одном из серверов были выявлены сторонние установки. Во время проведения анализа был также обнаружен активный процесс, который эксплуатировал SQL-инъекцию и собирал данные из БД одной из жертв.
Результаты анализа скомпрометированных серверов и действий на них атакующих:
За исключением редких случаев, участники группы довольствуются публичным инструментарием. Использование группой для реализации атак публично доступных утилит делает задачу атрибуции атак без дополнительных «маркеров» группы весьма сложной. Потенциально любой уязвимый сервер в интернете представляет для атакующих интерес в качестве «плацдарма» для развития дальнейших атак на целевые объекты.
В большинстве наблюдаемых нами случаев группа выполняла задачи по поиску уязвимостей, закреплению на различных узлах, краже данных аутентификации. Разнообразие списка жертв может говорить о разнообразии интересов атакующих. С некоторой долей уверенности можно предположить, что группа работает в интересах или по заданиям от внешних по отношению к ней заказчиков, выполняя первоначальный сбор данных, кражу данных аутентификации и закрепление на подходящих ресурсах для обеспечения возможности дальнейшего развития атаки.
СЦЕНАРИЙ 3.
Атаки на инфраструктуру и технологические процессы через шифровальщики. Эпидемия wannacry в промышленных сетях
В период с 12 по 15 мая 2017 года множество компаний по всему миру подверглись атаке сетевого червя-шифровальщика WannaCry. В их числе – компании, занимающиеся различными видами производства, нефтеперерабатывающие заводы, объекты городской инфраструктуры и распределительной энергосети.
По нашим данным, сотни компьютеров, являющиеся частью систем управления технологическими процессам промышленных предприятий, не будучи надлежащим образом защищенными (например, при помощи установки и правильной настройки продуктов для защиты конечных узлов промышленной сети) были заражены червем-шифровальщиком WannaCry.
Хранящиеся на инфицированных компьютерах файлы были зашифрованы. Полностью данные о том, стало ли это причиной остановки или нарушения работы систем автоматизации соответствующих предприятий и нарушения их производственных циклов, отсутствуют. По оценке наших специалистов, подобное развитие событий вполне вероятно.
Отметим, что не все атакованные компьютеры могли быть заражены, поскольку шелл-код оказался совместим не со всеми версиями OC Windows, используемыми в системах промышленной автоматизации. В случае такой несовместимости атака WannaCry может приводить к возникновению критической ошибки в ядре ОС и, как следствие – к отказу в обслуживании (DoS). Несмотря на то, что злоумышленники не добиваются в данном случае поставленной цели, и схема вымогательства, используемая ими, не работает, подобная ситуация всё равно крайне неприятна для промышленных предприятий, поскольку приводит к потере управления технологическим процессом. В ряде случаев отказ в обслуживании может приводить и к нарушениям непрерывности технологического процесса.
Большинство специалистов из области промышленной автоматизации придерживаются мнения, что возможность заражения промышленных систем из интернета исключена: действительно, как правило, промышленные системы, находящиеся внутри периметра технологической сети (HMI, SCADA, Historian, ARM операторов и инженеров), не имеют прямого подключения к интернету.
Каким же образом сетевой червь мог проникнуть в технологическую сеть?
Вредоносное ПО WаnnаCry распространялось по локальным сетям и интернету, используя уязвимость CVE 2017-0143 (MS17-010) в компонентах сервиса SMBv1 (порт TCP 445) операционных систем Windows. Очевидно, что угроза заражения шифровальщиком данного типа актуальна для тех систем, для которых выполняются следующие условия:
- система содержит уязвимые компоненты;
- патч от Microsoft не установлен;
- включена поддержка SMBv1;
- сетевой порт TCP 445 уязвимой системы доступен для подключения;
- не установлены или не сконфигурированы правильно средства защиты.
Как уже было сказано выше, прямого доступа в интернет из технологической сети, как правило, нет, либо он организован через корпоративную сеть с использованием NAT, межсетевого экрана и корпоративного прокси-сервера, что должно исключать возможность заражения таких систем из интернета.
Однако, есть типичные ошибки в конфигурации промышленной сети, которые, по нашим данным, приводили к заражениям WаnnаCry.
1. Использование компьютеров-мостов между несколькими сетями
Даже в, казалось бы, неплохо защищенной промышленной сети нам часто встречаются компьютеры (серверы и даже рабочие станции), подключенные сразу к нескольким подсетям внутри периметра организации. Такие подключения опасны, поскольку образуют трудно контролируемые точки входа из одной сети в другую, обычно крайне уязвимы для атаки. В одном из инцидентов после начала массового распространения сетевого червя-шифровальщика WannaCry был заражен один из офисных компьютеров в корпоративной сети. Одновременно с шифрованием файлов на зараженном компьютере червь начал распространяться по локальной сети, и вскоре был заражен компьютер инженера/администратора систем промышленной автоматизации. Поскольку этот компьютер был также напрямую подключен к технологической сети, червь начал распространяться внутри технологической сети, атакуя системы промышленной автоматизации.
2. Подключение удаленных объектов
Часто ввиду территориальной удаленности или особенности расположения оборудования сегменты промышленной сети связаны между собой через интернет. В таких случаях вероятность успешной атаки зависит от способа их подключения.
Обычно удаленные промышленные системы подключаются к интернету так же, как и корпоративные сети – с использованием NAT и межсетевого экрана, что также должно исключать возможность заражения червем-шифровальщиком WannaCry напрямую из интернета. Но, по нашему опыту, из-за отсутствия постоянного контроля за состоянием информационной безопасности сети и ошибок конфигурации периметр таких систем чаще оказывается менее защищенным, чем периметр корпоративной сети – а значит, риск проникновения через периметр удаленных промышленные систем выше.
Широко реализован сценарий проникновения вредоносного ПО WannaCry в технологическую сеть из удаленной сети (центра диспетчерского управления или подрядчика) через VPN-канал.
Как и в предыдущем сценарии, компьютер в удаленной сети был заражен, после чего сетевой червь начал распространяться по локальной сети. Зараженный компьютер был также подключен к технологической сети по VPN, компьютеры в технологической сети были доступны для подключения и, как следствие, были атакованы сетевым червем-шифровальщиком.
Следует помнить, что VPN защищает данные от неавторизованного чтения и модификации (атаки MITM) в канале передачи данных, но не позволяет защититься от атаки, когда одна из сторон канала (в данном случае компьютер за пределами технологической сети) скомпрометирована.
3. Использование модемов и мобильных телефонов
Мы часто сталкиваемся со случаями использования устройств для прямого подключения компьютеров в технологической сети к мобильному интернету в обход периметра сети. Чаще всего для подключения используются USB-модемы. Кроме того, любой современный смартфон может выполнять функцию сетевого адаптера для 3G/LTE сетей.
В большинстве случаев устройства, подключаемые к интернету через мобильные сети, недоступны из интернета, поскольку мобильные операторы также используют NAT. Как следствие, IP-адрес клиента не является публичным, и сетевые порты на подключенном компьютере недоступны из интернета. Но в ряде случаев (в зависимости от настроек подключения) клиенту мобильных операторов может быть предоставлен публичный IP-адрес. Сетевые службы, сконфигурированные на работу со всеми сетевыми интерфейсами компьютера, в этом случае становятся доступны по предоставленному оператором публичному IP-адресу, что дает возможность (для хакеров и вредоносного ПО, в том числе WаnnаCry) атаковать подключенный компьютер прямо из интернета.
Внутри нефтегазовой отрасли успешно реализован пример атаки компьютеров в промышленной сети вредоносным ПО WannaCry из интернета, подключенного в обход периметра сети. Во время массового распространения сетевого червя-шифровальщика WannaCry один из компьютеров в технологической сети был подключен к мобильному интернету. Поскольку IP-адрес, предоставленный мобильным оператором, был публичным, а сетевые службы компьютера (в том числе SMBv1) были доступны для всех сетевых интерфейсов, он был атакован и заражен вредоносным ПО WannaCry из интернета. Используя локальное подключение зараженного компьютера к технологической сети, червь начал распространяться по технологической сети, атакуя и заражая все доступные системы в локальной сети.
По нашему опыту, неконтролируемое подключение устройств в технологической сети к внешним сетям в обход защищаемого периметра представляет серьезную угрозу безопасности для систем промышленной автоматизации. Даже в том случае, если предоставляемый мобильными операторами IP-адрес не является публичным и сетевые службы компьютера не доступны для подключения из интернета, подключенный компьютер может быть атакован и заражен вредоносным ПО (с использованием фишинга, социальной инженерии, уязвимостей в браузерах и другом прикладном ПО).
СЦЕНАРИЙ 4.
Атаки на инфраструктуру АЗС
Занимаясь исследованием устройств, имеющих подключение к интернету, мы обнаружили нечто неожиданное и почти сразу поняли, что, вероятно, имеем дело с критической угрозой безопасности. Нам попался простой веб-интерфейс, который оказался связан с реальной заправочной станцией; мы предположили, что благодаря такой связи, эту заправку можно удаленно взломать.
Исследуемое нами устройство оказалось не просто миниатюрным веб-интерфейсом. Это встроенный модуль, на котором выполняется блок контроллера на базе Linux, установленный вместе с компактным HTTPD-сервером.
Как сообщает производитель, ПО контроллера – это средство автоматизации, которое отвечает за управление всеми компонентами АЗС, в том числе топливораздаточной колонкой (ТРК), платежными терминалами и т. д.
Иными словами, контроллер является центральным узлом АЗС, и если злоумышленникам удается перехватить контроль над модулем, это может привести к катастрофическим последствиям. Еще одна тревожная деталь, которая выяснилась в ходе нашего анализа: многие экземпляры устройства были встроены в системы АЗС более десяти лет назад и все это время были подключены к интернету.
До начала исследования мы искренне полагали, что все без исключения системы АЗС изолированы от интернета и находятся под надлежащим контролем. Но мы ошибались: на деле оказалось, что злоумышленник, обладающий даже минимальными навыками, может, эксплуатируя данный продукт, получить контроль над системой АЗС из любой точки мира.
Игра в прятки
Как нам удалось установить, заправочные станции, использующие данный продукт, помечены определенным образом. Это позволяет обнаружить их, введя в поисковую систему всего одно ключевое слово. В течение нескольких секунд все подключенные к интернету АЗС выдают свое точное местоположение и доступные пассивные открытые соединения.
Используя данные, полученные в результате онлайн-поиска и из других источников, мы получили географическое распределение таких заправочных станций. Мы обнаружили более тысячи АЗС, к которым можно получить доступ с любого компьютера в мире. Стоит отметить, что в контексте взлома IoT-устройств, АЗС – мишень намного более опасная, чем, например, веб-камеры.
Мы стали понимать, насколько сильно устарело исследуемое устройство, когда увидели, что к нему можно получить доступ и управлять удаленно при помощи сервисов, которые в современных устройствах не используются. В руководствах по эксплуатации скрупулезно указаны используемые сервисы и сетевая архитектура.
Учетные данные по умолчанию
Мы обнаружили, что установленные по умолчанию учетные данные неоднократно упоминаются в интернете. Имеются подтверждения того, что перечисленные в руководстве сервисы в какой-то момент времени были собраны поисковой системой. Поскольку она довольно новая, можно предположить, что эти сервисы в настоящее время доступны. Также мы нашли упоминания того, что протоколы SSH, HTTP и X11 потенциально могут использоваться для получения неавторизованного доступа.
В ходе исследования мы смогли авторизоваться в одной консоли начальника смены. Но это лишь частный случай, и у нас не было доказательств того, что аналогичным образом можно получить доступ ко всем другим АЗС. Нам нужно было получить разрешение владельца АЗС, чтобы попытаться получить к ней доступ, когда она отключена от сети.
Консоль начальника является достаточно многофункциональной. Учитывая уровень технических знаний, требуемый от начальников смены, доступные функции позволяют им изменять параметры настройки ТРК, в том числе действующие на АЗС цены на бензин, настройки принтера, отчеты смены и т. д. Риск связан с действиями возможного инсайдера – начальник смены может вносить изменения в отчеты по смене, кассовые чеки и в цены на бензин. Кроме того, мы подозреваем, что в сети есть другие интерфейсы, позволяющие сотруднику АЗС с расширенными правами отслеживать данные из магазина при станции и с платежного терминала.
Наш следующий шаг – проверить, сможем ли мы получить удаленный доступ к заправочной станции без каких-либо учетных данных. Мы стали искать нестандартный способ обхода механизма аутентификации. Предполагая, что этот механизм устарел, а перед развертыванием как следует не тестировался, мы рассчитывали найти такой способ за пару дней.
Первая находка
Мы были практически уверены, что в первую очередь обнаружим какую-нибудь уязвимость в коде. Однако мы совсем не ожидали увидеть то, что первым привлекло наше внимание.
Когда мы сделали дамп прошивки и обратную разработку основного кода, мы стали искать в декомпилированном коде механизм аутентификации и, к своему удивлению, обнаружили, что его ядром является оператор IF. В качестве аргументов оператора были в явном виде прописаны логин и пароль. Таким образом, мы наткнулись на лазейку, которую разработчик оставил в коде на случай, если потребуется удаленный или локальный доступ к устройству с максимальными правами.
Наряду с зашитыми в код паролями, мы обнаружили множество участков небезопасного кода, делающих возможным удаленное выполнение кода. Анализируя один из этих компонентов, мы обнаружили параметр имени, который контролируется конечным пользователем и уязвим для атаки на переполнение стекового буфера. На базе этой находки мы скомпилировали полностью действующее удаленное исполнение кода.
Как изменить цены
Если в руки злоумышленника попадут прописанные в коде учетные данные для входа в веб-интерфейс, и он получит возможность менять входные параметры компонента цен, то он сможет менять цены на отпускаемый бензин. Чтобы предпринять попытку такого вмешательства, нужно, в первую очередь, извлечь данные топливораздаточной колонки в формате JSON – из них можно узнать, какие нефтепродукты продаются и по какой цене.
Это можно сделать, используя один из XML-файлов, отвечающий за хранение цен на горючее, обновляемых в режиме реального времени в локальной базе данных. Для каждого реализуемого продукта прописан идентификатор, марка бензина, название, следующее за маркой, и цена. Чтобы изменить цену, злоумышленнику нужно изменить только марку бензина. Решив, какие цены он будет менять, злоумышленник должен отправить запрос соответствующему компоненту, который меняет цены.
Платежный терминал
Злоумышленник, получивший доступ к АЗС, может напрямую подключиться к платежному терминалу, чтобы перехватывать информацию о платежах либо непосредственно атаковать платежный шлюз и перехватывать сами транзакции. Мы не исследовали эти возможности, поскольку у нас не было доступа к сети АЗС, однако мы уверены в необходимости изучения данного вопроса и соответствующего тестирования.
Что может сделать злоумышленник
Итак, какие же возможности получает злоумышленник, получивший контроль над системой АЗС путем эксплуатации уязвимого устройства, которое мы обнаружили? Вот несколько возможных сценариев:
- Выключение всех заправочных систем.
- Вызывание утечки топлива, с риском жертв.
- Изменение цен на бензин.
- Обход платежного терминала для кражи денег.
- Кража данных о номерных знаках машин и личных данных водителей.
- Прерывание работы АЗС и требование выкупа.
- Выполнение кода на блоке контроллера.
- Свободный доступ ко всей сети АЗС.
Насколько мы знаем, уязвимые АЗС еще не получили распоряжения отключить удаленный доступ через этот контроллер. В сентябре 2017 г. мы предупредили производителя об обнаруженных проблемах и предложили переслать ему подробную информацию, чтобы помочь закрыть уязвимости.