Una organización puede contar con diversas medidas de seguridad que mitigan y protegen de ataques externos. ¿Pero qué ocurre con los ataques físicos? ¿Qué sucedería si alguien de la empresa o personal externo conectara un dispositivo USB malicioso en una máquina de producción? ¿Contamos con los medios y niveles de seguridad necesario para detectar cambios en los sistemas? Te lo contamos en este artículo.

¿Qué son los sistemas de control industrial?

También llamados ICS (Industrial Control Systems), los sistemas de control industrial son la integración de hardware y software conectados a la red para gestionar y monitorizar una infraestructura crítica. Estas tecnologías incluyen, entre otras, controles de supervisión y monitorización de datos (SCADA) y sistemas de controles distribuidos (DCS), sistemas de control y automatización industrial (IACS), controladores lógicos programables (PLC), unidades de controles remotos (RTU) y otros servicios como pueden ser: servidores de control, dispositivos electrónicos inteligentes (IED), pantallas interactivas del operador (HMI), sensores o el uso de Internet de las cosas (IIoT).

¿Cuáles serían los principales riesgos en entornos industriales?

  • Trasmisión de contraseñas sin cifrar.
  • Contraseñas triviales o por defecto.
  • Vulnerabilidades conocidas en software o firmware desactualizado.
  • Falta de segmentación entre la red IT y OT.
  • Identificación de dispositivos no autorizados.
  • Software o hardware de terceros comprometidos.
  • Conexiones remotas sin proteger o con credenciales triviales.
  • Phishing dirigido.

Otro riesgo que no está en la anterior lista y es importante mencionar es la intrusión física.

Nuestros empleados, el eslabón más débil

Hoy os traigo un caso de forense industrial, donde está ocurriendo una exfiltración de información del departamento de I+D de la corporación a otra compañía de la competencia, y una pérdida de productividad de un 30% por falta de disponibilidad de la maquinaría de la planta.

Ejemplo de un cuadro eléctrico industrial.

Ejecución e informe de resultados tras días de monitorización

Las máquinas de la planta no están conectadas a una red con conexión a internet. Tras varios días analizando el tráfico de red de la planta, se ha podido evidenciar que el atacante está utilizando un equipo de la marca “Asus” y con terminación de dirección MAC 84:5e:41 para modificar parámetros de configuración a un PLC Siemens.

Evidencia obtenida con Wireshark.

Con la información obtenida y contrastando el listado de los dispositivos informáticos activos suministrado por el departamento de IT, ha sido suficiente para localizar el equipo comprometido de la planta.

Evidencia ficticia del equipo comprometido.

El equipo se encuentra empotrado dentro de un cuadro protegido con tornillería especial, desmontarlo conllevaría mucho tiempo y nuestro atacante no dispone de él, por lo que solo nos deja la opción del uso del puerto USB.

Recopilando los registros de eventos de las conexiones por USB, se puede evidenciar datos muy útiles como el identificador de producto, el fabricante o el número de serie.

Evidencia del fichero syslog con información USB.

El registro cuenta con 900.000 líneas, por lo que realizar este análisis manualmente sería una tarea muy difícil y costosa.

 

Número total de líneas que contiene el fichero.

Para realizar esta tarea, hemos creado un script con Python, lo que hará de forma automática será contrastar una lista de números de series de los dispositivos USB que utiliza la organización con el fichero “syslog”.

Números de series de los USB utilizados por la compañía.

En apenas unos segundos, ha sido posible enumerar un número de serie que no se encontraba en la lista de los dispositivos USB autorizados por la planta.

Evidencia de un serial no encontrado.

Con este serial, es posible localizar la fechas y horas de las conexiones del dispositivo USB, y realizar un seguimiento de los operarios o externos que estuvieron en esa línea de producción en las fechas indicadas y así obtener al supuesto atacante.

Información del dispositivo USB.

¿Se podría haber detectado antes?

Por supuesto, contando con un servicio autogestionado como el de Sothis, donde contamos con sistemas de detección de intrusiones de red, registro y auditoría de logs, gestión de incidentes y monitorización de eventos en tiempo real desde nuestro SOC.

Gracias a esta tecnología, somos capaces de detectar:

  • Cambios de firmware o reemplazo de PLC, RTU o HMI.
  • Enumeración de dispositivos desde direcciones IP no validadas.
  • Latencia en las respuestas de los dispositivos OT.
  • Autenticaciones fallidas desde dispositivos HMI o PLC.
  • Creación de cuentas de usuario en el Sistema Operativo.
  • Ataques internos o externos a la red industrial.
  • Vigilancia de la exposición a Internet.
  • Accesos VPN controlados y gestionables.
  • Cambios de reglas de firewall.