Dragonfly y Sandworm en redes OT: impacto y contramedidas

¿Qué impacto pueden tener Dragonfly y Sandworm en tu red OT? ¿Cuáles son las contramedidas más adecuadas? En este post trataremos de darte la solución. Hablamos sobre ello en este post.

Tras estudiar en profundidad las características y vectores de ataque utilizados por las APT Dragonfly y Sandworm, es momento de analizar el impacto que pueden tener en una red OT.

Entre las consecuencias principales podemos destacar las siguientes:

      1. La ejecución de código no autorizado: Debido a la existencia de equipos en entornos OT con niveles de autorización de “administrador” es muy fácil que este tipo de malware realice cualquier tipo de acción maliciosa aprovechando que existen máximos privilegios.
      2. La revelación de información: Que puede ser la base para ataques más dirigidos. En particular la asociada a browser password, VPN configuration information y credenciales VPN que pueden ser utilizados para acceder de forma no autorizada a dispositivos de campo.
      3. El acceso remoto no autorizado: A través de la instalación de software con troyanos descargado de sitios web de proveedores ICS como ya se ha visto. Esto permitiría el acceso directo a entornos OT.
      4. La escritura sobre sistemas de control: A través de OpcEnum, es posible identificar clientes-servidores OPC y si no existen contramedidas, es fácil poder acceder a estos servidores para escribir en el OPC Tag Database.
      5. Denegaciones de servicio a través de los RAT: Provocando el reinicio de máquinas por infección, la degradación del rendimiento de los sistemas infectados.

¿Qué contramedidas parecen las más idóneas para eliminar y/o mitigar este tipo de amenazas?

  1. Asociadas a la segmentación y fortificación de redes.
    • Realizar un análisis en profundidad del estado de las redes.
    • Incorporar soluciones antipishing y drive-by download.
    • Segmentar IT y OT físicamente y dentro de OT segmentar y fortificar lógicamente a través de VLAN o incluso de nuevo físicamente aislando sistemas críticos.
    • Incorporar dispositivos de electrónica de red que permitan segmentar tráfico (network whitelisting).
    • Realizar whitelisting de protocolos.
    • Fortificar los dispositivos de campo con firewalls DPI.
  1. Asociadas a establecer políticas y procedimientos.
    • Desarrollar Planes Directores de Ciberseguridad Industrial.
    • Descargar software en entornos controlados (DMZ).
    • Probar software en entornos de prueba, antes de pasar a producción.
  1. Asociadas a establecer arquitecturas de red segura.
    • Incluir whitelisting de aplicaciones.
    • Utilizar protocolos industriales seguros (OPC UA, SecureDNP3, etc…) o utilizar dispositivos que realicen “Sanity Check” de protocolos industriales.
    • Realizar accesos remotos basándose en la segmentación de red realizada y con doble autenticación.