Uma organização pode contar com várias medidas de segurança que atenuam e protegem contra ataques externos. Mas e os ataques físicos? O que aconteceria se alguém na empresa ou pessoal externo ligasse um dispositivo USB malicioso numa máquina de produção? Temos os meios e níveis de segurança necessários para detetar alterações nos sistemas? Saiba tudo neste artigo

O que são sistemas de controlo industrial?

Também chamados ICS (Industrial Control Systems), os sistemas de controlo industrial são a integração de hardware e software ligados à rede para gerir e monitorizar uma infraestrutura crítica. Estas tecnologias incluem, entre outras, controlos de supervisão e monitorização de dados (SCADA) e sistemas de controlos distribuídos (DCS), sistemas de automação e controlo industrial (IACS), controladores lógicos programáveis (PLC), unidades de controlo remoto (RTU) e outros serviços tais como: servidores de controlo, dispositivos eletrónicos inteligentes (IED), ecrãs interativos do operador (IHM), sensores ou a utilização da Internet das coisas (IIoT).

Quais seriam os principais riscos em ambientes industriais?

Transmissão de palavras-passe não criptografadas.
Palavras-passe triviais ou predefinidas.
Vulnerabilidades conhecidas em software ou firmware desatualizados
Falta de segmentação entre a rede IT e a rede OT.
Identificação de dispositivos não autorizados.
Software ou hardware de terceiros comprometidos.
Ligações remotas desprotegidas ou com credenciais triviais.
Phishing direcionado.

Outro risco não enumerado acima e importante a mencionar é a intrusão física.

Os nossos colaboradores, o elo mais fraco

Hoje trago-vos um caso de forense industrial, em que está a ocorrer uma fuga de informação do departamento de P+D da corporação para outra empresa concorrente, e uma perda de produtividade de 30% devido à falta de disponibilidade da maquinaria da fábrica.

Ilustração 1: Exemplo de um armário elétrico industrial

Execução e comunicação dos resultados após dias de monitorização

As máquinas da fábrica não estão ligadas a uma rede com ligação à Internet. Após vários dias a analisar o tráfego de rede da fábrica, tornou-se evidente que o atacante está a utilizar um equipamento da marca “Asus” e com terminação de endereço MAC 84:5e:41 para alterar os parâmetros de configuração para um PLC Siemens.

Ilustração 2: Evidência obtida com o Wireshark

Com as informações obtidas e contrastando a lista de dispositivos informáticos ativos fornecida pelo departamento de TI, bastou localizar o equipamento comprometido da fábrica.

Ilustração 3: Evidência fictícia do equipamento comprometido

O equipamento está integrado num armário protegido com parafusos especiais; a sua desmontagem demoraria muito tempo que o nosso atacante não dispõe, pelo que só nos deixa a opção de utilizar a porta USB.

Através da recolha de registos de eventos das ligações USB, podem ser evidenciados dados muito úteis, como o identificador do produto, o fabricante ou o número de série.

Ilustração 4: Evidências do ficheiro syslog com informação USB

O registo tem 900 000 linhas, pelo que a execução manual desta análise seria uma tarefa muito difícil e dispendiosa.

Ilustração 5: Número total de linhas contidas no ficheiro

Para realizar esta tarefa, criámos um script com o Python, que contrastará automaticamente uma lista de números de série dos dispositivos USB utilizados pela organização com o ficheiro “syslog”.

Ilustração 6: Números de série dos USB utilizados pela empresa

Em apenas alguns segundos, foi possível listar um número de série que não constava da lista de dispositivos USB autorizados para a fábrica.

Ilustração 7: Evidências de uma série não encontrada

Com esta série, é possível localizar as datas e horas das ligações do dispositivo USB e rastrear os operadores ou pessoal externo que se encontravam nessa linha de produção nas datas indicadas, e assim identificar o suposto atacante.

Ilustração 8: Informação do dispositivo USB

Poderia ter sido detetado mais cedo?

Certamente, se pudermos contar com um serviço autogerido como o da Sothis, onde temos sistemas de deteção de intrusões na rede, registo e auditoria de logs, gestão de incidentes e monitorização de eventos em tempo real a partir do nosso SOC.

Graças a esta tecnologia, somos capazes de detetar:

Alterações de firmware ou substituição de PLC, RTU ou IHM
Listagem de dispositivos a partir de endereços IP não validados
Latência nas respostas dos dispositivos OT.
Autenticações falhadas a partir de dispositivos IHM ou PLC
Criação de contas de utilizador no Sistema Operativo.
Ataques internos ou externos à rede industrial.
Vigilância da exposição na Internet.
Acessos controlados e geríveis via VPN.
Alterações nas regras de firewall.