Relatório do Panorama de Ameaças da ENISA 2018. Algumas notas sobre sistemas SCADA/ICS e infraestruturas críticas.
Este novo relatório da EMISA incorpora informações e dados de leitura obrigatória para todos aqueles que queiram estar a par das ameaças presentes e futuras que afetam qualquer tipo de organizaç...
Na passada segunda-feira, 28 de janeiro de 2018, a ENISA publicou o seu relatório anual sobre ameaças: o ENISA Threat Landscape Report 2018 – 15 Top Cyberthreats and Trends, que pode descarregar neste link.
Como é habitual, o relatório incorpora informações e dados de leitura obrigatória para todos aqueles que queiram estar a par das ameaças presentes e futuras que afetam, diria, qualquer tipo de organização.
Na figura seguinte, pode ver quais são as principais ameaças que surgiram durante 2018 e a sua posição relativamente às detetadas durante 2017.
Adicionalmente, nesta publicação, gostaríamos de assinalar alguns dos dados mais importantes que o relatório recolhe relacionados com os sistemas SCADA/ICS e com as infraestruturas críticas.
O Malware em ambientes SCADA/ICS
No ponto 3.1 do relatório, demonstra-se como, durante o ano passado, o malware Triton foi o primeiro a afetar os SIS (Safety Instrumented Systems), ou seja, os sistemas que permitem executar umas “funções específicas de controlo”, quando o processo entrou em condições que podem afetar gravemente a segurança dos trabalhadores ou causar graves incidentes ambientais.
Além disso, o relatório assinala que, nos próximos anos, os ambientes de operação e, em geral, as infraestruturas críticas serão um objetivo prioritário para os grupos de APTs.
Do mesmo modo, dentro desta secção de malware, aparece pela primeira vez, como ameaça, a existência de um tipo de malware específico, o Cryptojacking. Ou seja, trata-se de um malware que infeta sistemas e dispositivos OT, permitindo ao utilizador malicioso minerar criptomoeda. Nos ambientes OT, este tipo de malware pode gerar uma importante degradação no desempenho do sistema.
No relatório, faz-se menção do incidente sofrido por infraestrutura crítica do setor das águas, em fevereiro de 2018, utilizando o referido malware. Como se pode observar na seguinte figura do relatório, o ataque a infraestruturas críticas, através de “Cryptomining malware”, está a aumentar fortemente nos últimos meses.
Vetores de ataque em ambientes SCADA/ICS
Na secção 5 do relatório, “Attack Vectors”, faz-se menção aos denominados “Multi-staged and Modular Threats”, ou seja, aqueles ataques que são realizados por grupos que utilizam malware muito sofisticados, versáteis e persistentes. Alguns dos exemplos que se indicam são VPNFilter, BlackEnergy ou CobInt e estas são as suas características: autopropagação, autodestruição, comunicações ocultas com os C2, comportamentos persistentes, ofuscação na origem, etc.
No relatório, faz-se um pequeno percurso pelas características do primeiro VPNFilter, um malware que afetou mais de 500.000 dispositivos de eletrónica de rede. Na figura seguinte, mostram-se os estádios seguidos por este malware para perpetrar as suas ações maliciosas.
Dentro das ações específicas deste malware, destaca-se que foram encontrados dois “pluging modules”:
- Um consistente num “sniffer” que recolhia tráfego e dados (passwords) das redes infetadas, assim como tráfego associado ao protocolo Modbus.
- Outro consistente em facilitar a comunicação através de TOR.
Ciberespionagem em infraestruturas críticas
Durante todo o relatório, insiste-se em alertar para o facto de que as organizações pertencentes a setores críticos são e vão ser o objetivo preferencial de ações maliciosas. Convém destacar que se demonstra a importância de vigiar os denominados “Supply Change attacks”, já que estão a ser uma ameaça crescente.
Por outro lado, é significativo o seguinte dado. O uso de RATs para exfiltrar informação sensível de redes e ambientes OT aumentou fortemente durante 2018. Mostra-se um gráfico no qual se revelam os países nos quais mais se utilizou este meio. Espanha também aparece.
Algumas conclusões
- Os atacantes mudam diariamente as suas técnicas, táticas e procedimentos, melhorando-as e sofisticando-as.
- A gestão do risco, prática habitual nas organizações, deve incluir a gestão do risco vinculado à cibersegurança e aos sistemas de informação.
- Os utilizadores finais estão cada dia mais expostos a uma quantidade ingente de ameaças.
- É muito recomendável incrementar as ações de formação e sensibilização a diferentes níveis.
- As diferenças entre os marcos normativos e legais são uma barreira para recolher informação sobre ameaças.
Desde a unidade de cibersegurança industrial da Logitek, temos e queremos estar a par das ameaças presentes e futuras, com o objetivo de cumprir a nossa missão: ajudar os nossos clientes a melhorar os níveis de segurança dos seus processos, sistemas e infraestruturas associados a ambientes OT e infraestruturas críticas.
