Анализ реального взлома нефтяной компании с Ближнего...

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Взлом одной из нефтяных компаний Ближнего Востока Анализ реального случая Алексей Лукацкий Бизнес-консультант по безопасности 28 May 2015


What about a Stuxnet-style exploit?


Часто мы судим об атаках на АСУ ТП из СМИ

•  http://www.wired.com/2015/01/german-steel-mill-hack-destruction/ Манипуляция в АСУ ТП, предотвратившая отключение доменной печи Доступ в индустриальный сегмент через бизнес сеть Доступ в бизнес-сеть через узконаправленный фишинг Компрометация множества систем: это привело к невозможности отключения Злоумышленник обладал высокой квалификацией и знанием по атакуемой системе

Атака на нефтяную компанию. Кейс 1


Факт •  Проникновение в индустриальный сегмент нефтяной компании

(Ближний Восток)

Как произошло •  Использование методов социального инжиниринга для воздействия на оператора ночной смены, «отдыхающего» в Facebook, с последующей компрометацией его ПК и проникновением в индустриальный сегмент

Последствия •  3 дня простоя

А это то, с чем пришлось столкнуться на практике


Сценарий проведенной атаки: случай №1

Злоумышленник нашел в Facebook оператора ночной

смены

Злоумышленник «подружился» с оператором

Нарушитель ищет персональные

данные оператора

Нарушитель использовал социальный инжиниринг

Оператор открывает

фейковый линк и заражается

Нарушитель скачивает базу данных SAM &

подбирает пароль

Нарушитель входит в систему, запускает

процедуру shutdown

Оператор реагирует очень медленно (не верит, что это с ним

происходит!)

Злоумышленник меняет условия работы АСУ ТП

Удаленная площадка теряет

функцию удаленного запуска

Удаленная площадка остается недоступной в течение 3+ дней

Снижение объемов переработки

нефтепродуктов


© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7

Фокус атаки был на нефтепереработку

Добыча Транспортировка Переработка


Хотя атака могла быть направлена и на другие АСУ ТП

Разведка Разработка Добыча

Морские платформы

Обработка Транспорт

Хранение & Транспорт

Торговля

Очистка Маркетинг

Маркетинг

Исследования & Разработка, Инжиниринг, Высокопроизводительные вычисления

Source: Cisco IBSG Oil & Gas Team, May 2011- in collaboration with Global Oil & Gas BDMs Note- excludes alternative energy such as wind etc

Газ Нефть Key

Офисное оборудование, Call Center, ЦОДы

Добыча Хранение и транспорт Переработка


Ночь… пустыня, скучающий оператор и Facebook

1970-е 2010-е


Социальная сеть как точка отсчета атаки

•  Активный поиск интересующих кандидатов В том числе и для последующей разработки – атака может происходить спустя месяцы, когда бдительность притупляется

•  Привлечение интересующего кандидата за счет изучения его интересов и привычек Люди не склонны скрывать эти сведения

•  Предложение дружбы Возможно с разных фальшивых учетных записей


Но иногда вы сами помогаете хакерам

•  Установив «дружеские» взаимоотношения в социальной сети и выждав время, нарушитель пытается заразить компьютер оператора ночной смены

•  Эта ссылка отсылает вас на сайт с «потрясным» видео, которое просит установить вас последнюю версию Flash player или отсутствующий кодек


Фальшивый сайт заражает ПК оператора ночной смены

•  Ночью обычно внимание притупляется

•  При отсутствии движухи (инцидентов) человек скучает

•  Нарушитель учел психологию и физиологию оператора нефтяной компании, а также и часовой пояс, в котором она находится


Другой вектор заражения – через электронную почту


И вновь оператор попадает на фишинговый сайт


Настройки браузера только облегчают заражение


Дальнейшие действия предсказуемы

•  Скачивание базы хешей паролей и использование инструментария для их подбора

•  Этап возможен за счет использования «устаревшей», необновляемой и уязвимой платформы

•  С реквизитами доступа можно осуществлять уже дальнейшее проникновение

Уровень 0 Распределенные I/O

Уровень 3 Управление и контроль

Уровень 2 Контроль процессов

Уровень 1 Программируемая автоматизация

Уровень 4 Планирование и

логистика

Уровень 5 Корпоративная сеть

Сенсоры, исполнител

ьные устройства

& RTUs

PLCs

HMIs, alarms & alerting

Комнаты управления, рабочие станции,

сервера, БД

Бэкофис, email, инвентаризация,

производительность, и т.д.

Инфраструктура корпоративной

сети, поддерживаемая корпоративным ИТ

Особые вендора

COTS

АСУ ТП

Общее

ПО Железо Модель Пурдью


Насколько это типично?


АСУ ТП – это часть целого

Филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAv ASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический центр Talos

Удаленные устройства

Доступ

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть SDN)

АСУ ТП

CTD

IDS RA

МСЭ Беспроводная

сеть

Коммутатор

Маршрутизатор

Сегментация Мониторинг


Это не единственный случай – нефтянка в фокусе

Источник: база данных инцидентов RISI


Вопреки мифам, многие ICS не изолированы



Чисто локальные инциденты происходят гораздо реже



Внешний нарушитель меньше знает, но больше может



Злоумышленник нашел в Facebook оператора ночной

смены

Злоумышленник «подружился» с оператором

Нарушитель ищет персональные

данные оператора

Нарушитель использует недовольство

оператора работой

Нарушитель обсуждает способы дополнительного

заработка

Нарушитель делится

«экспертизой» (вре-доносным ПО)

Оператор использует ПО для изменения условий работы АСУ ТП

Запущено изменение

процесса выпуска нефтепродукта

Нарушитель ждет, когда процесс

пойдет «не туда»

Измененный процесс приводит к нарушению свойств нефтепродукта

Уничтожения некачественного нефтепродукта

Финансовый ущерб и затраты на PR

Сценарий проведенной атаки: случай №2


Заражение вредоносным кодом через флешку

•  Conficker (KIDO) заражение НПЗ – неопубликовано

•  Description – Cyber Assault. Вирус поразил Windows компьютеры и продолжал распространение. Привел к нарушению трафика DCS контроллеров, приведшего к их остановке.

•  Attack Vector – Вирус принесен на Flash USB носителе контрактника от вендора (предположительная причина)

•  Vulnerability – Уязвимость на Windows хостах, соединенных с DCS контроллерами.

•  Damage Caused – НПЗ потерял контроль над производством на целый день. Финансовые потери более UK£ 500,000


Что было сделано?


Эталонная архитектура в ИБ АСУ ТП Общая политика, управление и учет

контекста в области IoT-безопасности

Конвергированная структура политик (IT/OT)

Управление политиками на оконечных устройствах

Управление идентификацией

Конфигурация и управление обновлениями

Инициализация

Управление учетными данными

Нормативное соответствие

AAA

Агрегация контекста и совместное использование

Облачная безопасность Защита приложений Открытые и партнерские API-интерфейсы

Обнаружение уязвимостей и вредоносного ПО

Сбор телеметрии и анализ угроз

Управление журналами/SIEM и их сохранение

Экспертиза (напр. Что произошло?)

Мониторинг и контроль приложений IoE

с сохранением состояния

Детализованное управление доступом (Гость/подрядчик, сотрудник и вещи)

Удаленный доступ для обслуживания устройств, процессов и систем

управления

Профилирование IoT-устройств и оценка

защищенности

Аутентификация и управление ключами доступа 802.1X, MAB, Гостевые

(в т.ч. устаревшие), 802.11i, 802.15.4 Транспортное шифрование

(802.11i, TLS, 802.1AE…)

Исследования, анализ и защита от угроз (в т.ч. в облаке)

Применение политик (Сеть)

Безопасность на транспортном уровне

Сообщество Intel

Сетевая безопасность IoT-устройств (FW/IPS/VPN)

Безопасность на физическом уровне

Обнаружение Мониторинг

Реагирование Анализ

Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное хранение


Управление и безопасность Уровень 1

Устройство Уровень 0

Центр управления Уровень 3

Устаревшая RTU

Сети безопасности и управления процессами Мультисервисные сети

Ист. данные HMI

Отсек питания

Безопасность

Процесс

Питание

Процесс

Контроллер Контроллер Контроллер

Серийные и неразъемные соед.

Ethernet-процессы Ethernet-мультисервисы

WAN Беспроводн. соед.

Транспорт RFID

SIEM

Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель

Системы безопасности

Принтер

Оборудование

SIEMСистема SCADA Головная станция

Рабочие станции оператора и разработчика

Сервер автоматизации процессов системы

SIEM

SIEM

Обработка и распред. ист. данных

Серверы приложений

Операционные бизнес-системы

SIEM

SIEM

SIEM

Надежность и безопасность

Система управления производством (MES)

SIEM

SIEMРаспределенная система управления (DCS)

SIEM

SIEM

Контроллер доменов

Корп. сеть Уровни 4-5

Ист. данные SIEM

Анти- вирус

WSUS

SIEM

SIEMСервер удаленной разработки

SIEM

Сервер терминального оборудования

SIEMДМЗ

Уровень 3.5

Телекоммуникации на операционном уровне

Беспроводн. сети

Интернет

Контроль Уровень 2

Системы видеонаблюдения

Контроль доступа

Голос

Мобильные сотрудники

Беспроводн. сенсор

Контроллер

Сенсор Выключатель

Безопасность

Архитектура безопасности нефтяной компании


Подрядчик

Когда Что Где Как

9:00-17:00

ноутбук Ячейка 1 Проводн.

Традиционный RBAC и политики

HMI Rockwell Automation

Stratix 8000 Коммутатор доступа уровня 2

Ввод-вывод


Диск

Ячейка/зона 1

Ввод-вывод

HMI


Volt

PTP

Коммутатор уровня доступа 2

и Протокол REP

Ячейка/зона 2

Роль Авторизация

Контр. Ячейка 2: Разр. CIP Разр. http Ячейка 1: Запрет

IED IED

Станционная шина

IED IED

Шина процессов

Подстанция

Операции SCADA инж

АКТИВЫ инж

Планиро-вание инж

Удаленное управление

R

Подтв. авар. сигн. R Точечная разметка R Точка ручного обновл.

R

Откр/Закр HMI R R R Выход HMI R R R

Мониторинг и контроль операций Возможности для инноваций

ISE + промышл. коммутаторы Отслеживание

Безопасный доступ для локальных пользователей


Безопасный доступ для локальных пользователей

Сеть доступа


Мультисервисная шина Производственная сеть Полевая сеть Буровая площадка Трансп. зона Умные города

Беспроводная IPS

OMSdACL VLAN

Тег группы безопасности

X Роль ИТ-персонал Поставщик

Когда 9:00-17:00 ВТ

Что Ноутбук Ноутбук

Где Центр обработки данных

Трансп. зона

Как Wi-Fi Проводн.

Wi-Fi Проводн.

Аутенти-фикация

Камеры IP-телефоны

WWW

Согласованная политика доступа


Безопасный удаленный доступ

Интернет

Корпоративная сеть WAN

Корпоративный экстранет

Аварийное переключение канала

Сервер удаленного доступа

Удаленный специалист или партнер

Корпоративный удаленный инженер

Межсетевой экран корпоративного периметра

Стек коммутаторов

EtherNet/IP

S S L V

P Н

IPSEC.

Производственная зона Производственные операции

Операции и контроль

Домен офиса Корпоративная

зона

ДМЗ

Уровни 4 и 5

Уровень 3

Интернет

Ячейки/зоны / Уровни 0-2

•  Корпоративная сеть à Сеть OT •  Интернет -> Корпоративная сеть -> Сеть OT •  Сети VPN - без клиента, тонкий клиент, толстый клиент •  Унифицированное управление проводным,

беспроводным и удаленным доступом

Сеть WAN поставщика

услуг

Корпоративная сеть

Частная сеть WAN компании

NMSКаталог

SIEM

Сервисы безопасности

Сеть автоматизации подстанций

OMS

Шлюз

РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ

OMS

AMI/DA RTU Реле PMU

Теле- защита

ЗАЩИТА И УПРАВЛЕНИЕ

Secure Business Partner Network


Мониторинг и контроль доступа устройств и механизмов •  Безопасность портов и централизованное управление •  Реестр сетевых индустриальных систем •  Идентификация и профилирование IoT-устройств

IoT-сети

Соотв. MAC

MAC IP

ACL

00:00:23:67:89:ab 10.1.1.1 ABB Сайт1

dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2

e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3

Контроллер CIP ABB Сайт1

RTU DNP Siemens Сайт1

IED Modbus Rockwell Сайт2

HMI OCP GE Сайт2

CA Управл.

Реестр — номер 1 среди 20 критических методов управления безопасностью

Сенсор IoT-устройств (в будущем)

802.1x Клиент


Защита периметра NERC CIP (Защита критически важной инфраструктуры) NIST SP-800-82: Руководство по безопасности

систем промышленного управления (ICS)

OMS

Сервер приложений

OMS

Архив исторических данных

Рабочая станция

Корпоративная сеть

PLC PLC HMI

Сеть управления

Сервер обновлений

Антивирусный сервер

ДМЗ

Исторические данные

Сеть WAN поставщика услуг WAN

Частная сеть WAN компании

Подстанция

OMSHMI

РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ

OMS

AMI/DA RTU Реле PMU

Теле- защита

ЗАЩИТА И УПРАВЛЕНИЕ

Центр управления

SCADA OMSEMS


Извлеченные уроки Урок Мероприятия Индустриальный сегмент не всегда изолирован от внешнего мира

Контроль и мониторинг соединений Сегментация

АСУТПшный персонал не всегда в теме ИБ Повышение осведомленности Регулярные тренинги по ИБ Учет психологии Работа с персоналом

Не всегда можно активно блокировать какие-то действия и операции

Пассивный мониторинг для раннего предупреждения Использование функционала сетевого оборудования

Процесс нельзя останавливать Акцент на мониторинг, а не активное блокирование Стандартные ИТ/ИБ-принципы и правила не срабатывают

Обучение по промышленной ИБ

Корпоративные решения по ИБ не всегда применимы

Использование как традиционных корпоративных, так и специализированных ICS-решений по ИБ

Взлом ИБ АСУ ТП - это не всегда что-то сложное Все, что написано выше


Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/


Благодарю за внимание

Анализ реального взлома нефтяной компании с Ближнего...

Technology