Detección de Pipedream/INCONTROLLER: Nuevo Marco de Ataque y Herramientas Dirigidas a Sistemas de Control Industrial

Las agencias gubernamentales de EE.UU. – CISA, FBI, NSA y el Departamento de Energía – junto con varios equipos corporativos de investigadores en ciberseguridad han dado la alarma sobre las amenazas a nivel nacional a los sistemas de control industrial (ICS). Según los investigadores de seguridad, los actores APT utilizan un conjunto de herramientas destructivas para tomar el control de las máquinas objetivo al establecer el acceso inicial a la red de tecnología operativa (OT). Estos ataques tienen el potencial de sabotear y destruir los procesos establecidos y provocar compromisos físicos.

Los investigadores están conectando el malware ICS específico de INCONTROLLER y Pipedream con actores de amenazas vinculados a Rusia.

Detección de Malware Pipedream/INCONTROLLER ICS

Para una detección de malware Pipedream/INCONTROLLER ICS sin esfuerzo, utilice el siguiente contenido de detección de amenazas publicado por un experto en seguridad con experiencia Sittikorn Sangrattanapitak. La regla basada en Sigma detecta nombres de archivos sospechosos asociados con la explotación del controlador de la placa base ASRock – CVE-2020-15368. Es creada por el marco de ataque patrocinado por el estado INCONTROLLER desarrollado para atacar ICS que explotan sistemas basados en Windows en entornos de tecnología de la información (IT) o tecnología operativa (OT):

Herramientas de Ciberataque Patrocinadas por el Estado INCONTROLLER Dirigidas a Sistemas de Control Industrial con Explotación de Controladores [CVE-2020-15368] (vía file_event)

Esta detección está disponible para las plataformas SIEM, EDR y XDR 22, alineado con el marco MITRE ATT&CK® v.10 más reciente, abordando la táctica de Ejecución Inicial con Ejecución de Usuario (T1204) como la técnica principal.

Siga las actualizaciones de contenido de detección relacionadas con INCONTROLLER en el repositorio del Mercado de Detección de Amenazas de la Plataforma SOC Prime aquí. La biblioteca de contenido de detección de SOC Prime se actualiza constantemente con nuevo contenido, potenciado por el enfoque colaborativo de defensa cibernética y habilitado por el modelo Follow the Sun (FTS) para asegurar la entrega oportuna de detecciones para amenazas críticas.

¿Deseoso de cazar las últimas amenazas, automatizar la investigación de amenazas y obtener retroalimentación y validación por parte de una comunidad de más de 20,000 profesionales de seguridad? Únase a SOC Prime, la primera plataforma del mundo para la defensa cibernética colaborativa, caza y descubrimiento de amenazas que se integra con más de 25 plataformas SIEM, EDR y XDR. ¿Tienes grandes ambiciones en ciberseguridad? Únete a nuestro programa de Recompensas de Amenazas, desarrolla tus propias reglas Sigma y obtén recompensas recurrentes por tu valiosa contribución.

Ver Detecciones Únete a Recompensas de Amenazas

Análisis de Malware ICS Pipedream/INCONTROLLER

Un Comunicado de Ciberseguridad conjunto de CISA, FBI, NSA y el Departamento de Energía de EE.UU. publicado el 13 de abril de 2022, detalla múltiples ataques específicos de ICS, así como los intentos de los actores APT para tomar el control de dispositivos de control y adquisición de datos de supervisión (SCADA), como los controladores lógicos programables (PLC) lanzados por las compañías Schneider Electric y OMRON (dispositivos Sysmac NJ y NX), así como objeto de servidores Open Platform Communications Unified Architecture (OPC UA).

La empresa de ciberseguridad Dragos ha publicado su declaración en relación a los ataques en cuestión, refiriéndose al malware utilizado como Pipedream (que se remonta a un ATP Chernovite), mientras que Mandiant se centró en el conjunto de herramientas denominado INCONTROLLER. El malware Pipedream/INCONTROLLER ICS permite a los adversarios escanear dispositivos ICS y SCADA y adquirir control total sobre las máquinas afectadas una vez que se logra exitosamente el acceso inicial a la red de tecnología operativa (OT). Además, los componentes del marco de ataque permiten explotar una falla en el controlador ASRock RGB, seguido con CVE-2020-15368 (ver la regla basada en Sigma arriba). INCONTROLLER en sí es una composición de tres herramientas de ICS de diferentes capacidades: TAGRUN, CODECALL y OMSHELL. Los componentes mencionados de INCONTROLLER se utilizan en varias etapas de un ataque.

Los escenarios de ataque de INCONTROLLER sugieren comparabilidad con las cepas de malware Triton, Student e Industroyer. Los investigadores advierten que a la luz de los eventos actuales, es decir, la invasión rusa de Ucrania, el malware INCONTROLLER y Pipedream tienen la alarmante capacidad de poner en peligro muchas infraestructuras críticas al sabotear los procesos industriales de Ucrania y otros países que se oponen a la agresión rusa. Por ejemplo, la última muestra de la infame familia de malware Industroyer etiquetada Industroyer2, ha sido noticia recientemente, con operadores del grupo APT Sandworm detrás del ataque que paralizó la red eléctrica ucraniana.

Los investigadores enfatizan que la mayoría de los dispositivos afectados por INCONTROLLER están integrados con maquinaria automatizada y a menudo presentan una parte discreta de las operaciones industriales. La escala completa de las consecuencias aún está por descubrirse.

En tiempos difíciles, confíe en herramientas y recursos probados para asegurar que su sistema no sea un blanco fácil para los delincuentes cibernéticos. Únase a SOC Prime para un futuro más seguro. Regístrese gratis en la plataforma de Detección como Código de SOC Prime para agilizar sus operaciones SOC con las mejores prácticas y experiencia compartida.