Мы продолжаем уже ставший традиционным цикл статей о том, как продукты Positive Technologies — MaxPatrol SIEM, PT Network Attack Discovery, PT Sandbox, PT Industrial Security Incident Manager и PT Application Firewall — отработали на полигоне The Standoff и что интересного они выявили во время майской кибербитвы. Акцент сделаем на изучении техник атакующих, но действия команд защитников тоже рассмотрим.
Сегодня расследуем самые, по нашему мнению, любопытные и — естественно — самые успешные атаки на промышленные объекты виртуального города F, которые глобальный SOC (security operations center) киберполигона детектировал с помощью PT ISIM (системы глубокого анализа технологического трафика). Кроме того, поговорим о защищенности технологических сетей на киберполигоне и в жизни, обсудим, могут ли такие инциденты произойти на реальных промышленных предприятиях и как своевременно реагировать на возникающие угрозы. Подробнее о том, что на киберучениях «поймала» наша песочница PT Sandbox, читайте на Хабре, а сейчас добро пожаловать под кат.
Что досталось на растерзание атакующим
Киберполигон The Standoff позволяет протестировать реальные хакерские атаки на инфраструктуру — но, что важно, без последствий. В этом году пентестерам мы отдали цифровые копии реальных розничных магазинов, аэропорта, железной дороги, морского порта, светофоров, электростанции, химического завода, нефтехранилища и много чего еще. Все образы промышленной, транспортной и энергетической инфраструктуры управлялись настоящими SCADA-системами и ПЛК. Точно такое же оборудование устанавливают на предприятиях в реальной жизни. Среди объектов города F, которые могли атаковать команды красных, были:
системы железнодорожного хозяйства,
багажная лента и телетрап в аэропорту,
система уличного освещения,
кран в морском порту,
система кондиционирования (HVAC),
светофоры,
системы газораспределительной станции,
колесо обозрения в парке развлечений,
нефтепровод и нефтехранилище,
системы электроподстанции,
инфраструктура химического завода,
ветрогенераторы,
электростанция (ТЭЦ),
система пожаротушения ТЭЦ.
Во время The Standoff за активностью атакующих, помимо команд защитников, следил глобальный SOC, состоящий из нескольких команд PT Expert Security Center, и мы, — чего греха таить — видели полную картину противостояния, наблюдали за началом и развитием каждого вектора атак в технологическом сегменте компаний и знаем малейшие нюансы произошедших инцидентов. Заметим, что условия мониторинга и расследования инцидентов на киберполигоне были максимально приближены к реальным.
Для каждой из компаний виртуального города мы заложили актуальные киберриски. Задача атакующих — реализация этих или других, не предусмотренных условиями битвы, бизнес-рисков, а также поиск уязвимостей в инфраструктуре офисов. Команды защитников, в свою очередь, должны своевременно выявлять эти инциденты, составлять по ним отчеты с доказательствами и рекомендациями по реагированию и направлять их в глобальный SOC кибербитвы. За четыре дня противостояния было реализовано 33 уникальных бизнес-риска из 61, а «безопасники» прислали 328 отчетов о выявленных инцидентах.
Давайте разберем самые яркие атаки, зафиксированные с помощью PT ISIM, которые, к слову, привели к очень серьезным последствиям. Как хорошо, что все это происходило в виртуальном городе, а не в обычной жизни!
Кто взорвал газораспределительную станцию
Один из самых страшных рисков был реализован в компании Tube, которая обслуживает сразу несколько объектов городской инфраструктуры. Главное направление ее работы — доставка газа и электроэнергии в квартиры жителей города и на другие объекты. В результате взрывов на газораспределительной станции, за которые ответственна команда True0xA3, город F остался без газа. А ведь последствия могли быть куда более серьезными! В реальности подобная техногенная авария может привести к травмам или гибели работников предприятия, жертвам среди населения города, экологической катастрофе, а также отставке топ-менеджмента, убыткам из-за простоя и судебным искам.
По сценарию The Standoff этот инцидент как раз и унес жизни четырех сварщиков, генеральный директор Tube был вынужден подать в отставку, а клиенты стали готовить иски против компании. Возобновить подачу газа в виртуальном городе смогли только через неделю.
Причиной взрыва и остановки газоснабжения стала успешная атака команды нападающих на систему управления промышленной компании. В ходе этой атаки был получен доступ к серверу SCADA, с которого впоследствии на ПЛК были отправлены команды на остановку подачи газа и его сброс в атмосферу.
Раскрутим цепочку этой атаки:
1. Неавторизованное подключение по RDP от узла 10.159.34.31 к узлу 10.159.36.12 (19 мая, 15:30) — получен удаленный доступ к SCADA-системе.
2. Подбор пароля (брутфорс) к учетной записи SUPERVISOR на SCADA-сервере GASSTATION (20 мая, 3:58). На этом этапе команда True0xA3, взломав пароль, получила полный доступ к системе управления газораспределительной станцией.
3. Управляющее воздействие на мнемосхему SCADA-сервера GASSTATION, отвечающего за подачу газа и открытие клапана сброса газа в атмосферу. В итоге на ПЛК (узел 10.4.0.26) по проприетарному протоколу были отправлены команды от SCADA-сервера GASSTATION (узел 10.4.06) (20 мая, 13:11).
Интересно: команда, переданная от SCADA-сервера на контроллер, является легитимной, но, по сути, это инцидент ИБ, так как на критически важные технологические устройства оказывается воздействие, которое может привести к нештатным ситуациям. Самое сложное — это отличить инцидент от нормальной работы. В данном случае имела место компрометация SCADA-сервера, к тому же сама последовательность команд является опасной, и на нее заводится инцидент независимо от признаков компрометации.
4. С мнемосхемы SCADA-сервера на ПЛК подаются штатные и легитимные команды. Стоит отметить, что отправка команд с мнемосхемы — это самый простой способ нарушения технологического процесса.
Получив доступ к управлению SCADA-сервером и взломав пароль администратора системы, можно полностью контролировать систему, включая изменение конфигурации ПЛК.
Что-что? На баржу упал контейнер?! Ужас!
«Темная сторона Силы» не могла оставить без внимания крупнейшую в городе F транспортную компанию Heavy Ship Logistics. Она обслуживает аэропорт, железную дорогу и морской порт: от эффективного функционирования бизнес-процессов HSL зависят все грузовые и пассажирские перевозки на нашем киберполигоне.
Немного поразмыслив, хакеры из команды Invuls придумали, как устроить хаос в морском порту: они перехватили управление портовым краном и, подавая заведомо неправильные команды, уронили один из контейнеров на баржу. Последствия, конечно, были не столь катастрофическими, как в реальном случае с сухогрузом Ever Given, застрявшем поперек Суэцкого канала, но по легенде Heavy Ship Logistics придется покрыть стоимость испорченного груза, а на ремонт судна уйдет не одна неделя…
В настоящем мире реализация такого бизнес-риска привела бы, опять же, к человеческим жертвам или травмам, приостановке деятельности, а значит, и к штрафным санкциям, судебным искам, тратам на ликвидацию ущерба и, возможно, к ошибочной отправке грузов во время этой неразберихи.
Давайте разберем эту атаку, а заодно посмотрим, как она отражалась в интерфейсе PT ISIM:
1. Неавторизованное подключение по RDP от узла 10.159.14.23 к узлу 10.159.16.12 (21 мая, 10:50) — получен удаленный доступ к SCADA-системе.
2. Управляющее воздействие на мнемосхему SCADA-сервера (узел 10.159.16.12), отвечающего за управление портовым краном. С мнемосхемы на контроллер (узел 10.159.17.12) по протоколу SLMP была передана команда на отключение режима крана «Авто» (21 мая, 11:05). Это, в свою очередь, привело к остановке крана.
3. С мнемосхемы SCADA-сервера (узел 10.159.16.12) на контроллер (узел 10.159.17.12) по протоколу SLMP была передана команда на отключение режима крана «Захват контейнера» (21 мая, 11:10). В итоге — в морском порту упал контейнер.
4. С мнемосхемы SCADA-сервера осуществляется управление краном в морском порту: по протоколу SLMP передаются штатные и легитимные команды на ПЛК. Как мы уже отмечали, команда атакующих Invuls выбрала самый простой способ нарушения технологического процесса — подачу команд с мнемосхемы.
В случае получения удаленного доступа к SCADA-серверу, включая функции управления из мнемосхемы, появляется возможность непосредственного управления этой системой. Причем команды не будут идентифицироваться как нелегитимные, поскольку взаимодействие между SCADA-сервером и ПЛК доверенное.
5. PT ISIM также зафиксировал попытку DoS-атаки со стороны SCADA-сервера (узел 10.159.17.12) на контроллер (узел 10.159.16.12) (21 мая, 13:18).
В рассмотренном случае специалисты по киберзащите должны были заблокировать внешние соединения, перейти на резервную схему управления, перевести управление в ручной режим, сменить пароли на SCADA. В крайнем случае — принять решение об остановке технологического процесса.
Напомним, что, по правилам киберучений The Standoff, команды защитников могли только вести наблюдение, выявлять инциденты и отправлять отчеты в SOC. В настоящем мире чаще встречаются атаки, где совпадают начальные этапы (проникновение и закрепление) и отличается финал: вместо отправки команд со SCADA нарушители запускают троянов-шифровальщиков в сеть жертвы. PT ISIM умеет определять признаки таких троянов в трафике, а также возросшую нагрузку на ресурсы через протокол SNMP.
Дорога во тьме
Одного нападения на компанию Tube команде True0xA3 показалось мало. Целью второй атаки стала принадлежащая компании система уличного освещения. Оживленная городская магистраль погрузилась во тьму: атакующие добрались до управляющего контроллера и внезапно выключили освещение. Дождь и туман еще больше усугубили ситуацию, и многие водители не справились с управлением.
В результате этой хакерской атаки в городе F произошло сразу несколько крупных ДТП, есть жертвы. Страшно представить, сколько бы людей пострадало, будь эти аварии настоящими! Компанию — поставщика электроэнергии — ждут судебные разбирательства, убытки и потеря клиентов, которые вряд ли захотят работать с ней после такого резонансного происшествия.
Вернемся к атаке. PT ISIM детектировал каждый шаг нападающих из команды True0xA3:
1. Неавторизованное подключение по RDP узла 10.159.34.31 к узлу 10.159.36.10 (20 мая, 19:20) — получен удаленный доступ к SCADA-системе.
2. Управляющее воздействие на мнемосхему SCADA-сервера (узел 10.159.36.10), отвечающего за работу уличного освещения (21 мая, 5:07). «Штатные» и «легитимные» команды передавались с мнемосхемы непосредственно на ПЛК (узел 10.159.37.10) по протоколу IEC 60870-5-104.
3. При получении полного доступа к удаленному управлению SCADA-сервером, включая функции управления из мнемосхемы, появляется возможность контролировать уличное освещение. Как и в атаках, которые мы разобрали выше, команды не идентифицируются как нелегитимные в силу того, что взаимодействие между SCADA-сервером и ПЛК признано доверенным. Однако обесточивание уличного освещения — это инцидент, а значит, данное событие должно быть зафиксировано как инцидент ИБ, что и сделал PT ISIM.
Чтобы не создавать впечатления, что защищенность промышленных систем на The Standoff проверяла только команда True0xA3, стоит рассказать, что бреши в технологических сетях объектов города F обнаружили, а затем и успешно использовали в ходе атак и другие нападающие. Так, атакующие из Codeby остановили автоматизированную систему управления нефтяной корпорации Nuft и подменили показатели приборов, что только за сутки привело к сокращению нефтедобычи на 90%. А команде Invuls удалось вызвать полную остановку ветрогенераторов. Хакеры получили доступ к системе управления и подменили данные на пульте: в итоге диспетчеры были уверены, что генераторы работают штатно.
Затем участники команд Codeby и Invuls взломали систему управления на электростанции, остановили газовую турбину, реализовав соответствующие бизнес-риски, — и город снова остался без света.
Про угрозы на киберполигоне и в реальной жизни
Технологические сети промышленных компаний постоянно подвергаются хакерским атакам. Уже который год мы отмечаем, что техники, которые используют наши «взломщики» на The Standoff, помогают командам защитников научиться действовать в боевом режиме. Мы открыто говорим, что ряд смоделированных для битвы условий существенно облегчает работу нападающим. Речь идет об инженерном ПО на управляющих АРМ или дефолтных паролях для доступа в различные системы. Однако практика показывает, что их все же можно встретить в инфраструктуре настоящих промышленных объектов. Таковы реалии нашей жизни.
Для противодействия современным угрозам в технологическом сегменте обычного мониторинга недостаточно, для этого требуется промышленный NTA, который охватит задачи и по предотвращению реальных рисков, и по расследованию инцидентов. Использовать системы глубокого анализа технологического трафика можно в связке с другими инструментами — SIEM-системами, решениями для управления уязвимостями. В комплексе они помогут выявлять атаки, митигировать риски и своевременно реагировать на возникающие угрозы.
На этом пока всё :) На очереди посты о том, что еще интересного мы обнаружили с помощью MaxPatrol SIEM и PT Network Attack Discovery (PT NAD) за четыре дня майского The Standoff. Не пропустите!
Авторы:
Сергей Петров, руководитель отдела экспертизы PT ISIM, Positive Technologies
Сергей Щукин, эксперт отдела экспертизы PT ISIM, Positive Technologies
