Detecção de Pipedream/INCONTROLLER: Novo Sistema de Ataque e Ferramentas Alvo Sistemas de Controle Industrial

As agências governamentais dos EUA – CISA, FBI, NSA e o Departamento de Energia – juntamente com várias equipes corporativas de pesquisadores em cibersegurança, soaram o alarme sobre ameaças nacionais a sistemas de controle industrial (ICS). De acordo com os investigadores de segurança, atores APT utilizam um conjunto de ferramentas destrutivas para assumir o controle de máquinas-alvo após estabelecer acesso inicial à rede de tecnologia operacional (OT). Esses ataques trazem o potencial de sabotar e comprometer os processos estabelecidos e levar a compromissos físicos.

Os pesquisadores estão conectando o malware INCONTROLLER e Pipedream, específico para ICS, a atores de ameaças ligados à Rússia.

Detecção de Malware Pipedream/INCONTROLLER para ICS

Para uma detecção sem esforço do Malware Pipedream/INCONTROLLER ICS, utilize o seguinte conteúdo de detecção de ameaças lançado por um especialista em segurança experiente Sittikorn Sangrattanapitak. A regra baseada em Sigma detecta nomes de arquivos suspeitos associados à exploração relacionada ao driver da placa-mãe ASRock – CVE-2020-15368. Ela é criada pelo framework de ataque patrocinado pelo estado INCONTROLLER desenvolvido para atingir ICS que exploram sistemas baseados em Windows em ambientes de tecnologia da informação (TI) ou tecnologia operacional (OT):

Ferramentas de Ataque Cibernético Patrocinadas pelo Estado INCONTROLLER Alvejaram Sistemas de Controle Industrial com Exploração de Driver [CVE-2020-15368] (via file_event)

Esta detecção está disponível para 22 plataformas SIEM, EDR & XDR, alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Execução Inicial com Execução pelo Usuário (T1204) como técnica principal.

Acompanhe as atualizações do conteúdo de detecção relacionado ao INCONTROLLER no repositório Threat Detection Marketplace da Plataforma SOC Prime aqui. A biblioteca de conteúdo de detecção da SOC Prime é constantemente atualizada com novos conteúdos, fortalecida pela abordagem colaborativa de defesa cibernética e habilitada pelo modelo Follow the Sun (FTS) para garantir a entrega oportuna de detecções para ameaças críticas.

Ansioso para caçar as últimas ameaças, automatizar a investigação de ameaças e obter feedback e avaliações por uma comunidade de 20.000+ profissionais de segurança? Junte-se à SOC Prime, a primeira plataforma do mundo para defesa cibernética colaborativa, caça e descoberta de ameaças que se integra com 25+ plataformas SIEM, EDR, XDR. Tem grandes ambições na cibersegurança? Junte-se ao nosso programa Threat Bounty, desenvolva suas próprias regras Sigma e obtenha recompensas recorrentes por sua valiosa contribuição!

Ver Detecções Junte-se ao Threat Bounty

Análise de Malware Pipedream/INCONTROLLER para ICS

Um Aviso de Cibersegurança conjunto da CISA, FBI, NSA e do Departamento de Energia dos EUA, lançado em 13 de abril de 2022, detalha múltiplos ataques específicos para ICS, bem como as tentativas de atores APT de assumir o controle de dispositivos de supervisão e aquisição de dados (SCADA), como controladores lógicos programáveis (PLCs) lançados pelas empresas Schneider Electric e OMRON (dispositivos Sysmac NJ e NX), além de mirar servidores de Arquitetura Unificada de Comunicações de Plataforma Aberta (OPC UA).

A empresa de cibersegurança Dragos lançou seu comunicado em relação aos ataques em questão, referindo-se ao malware utilizado como Pipedream (que é rastreado até um ATP Chernovite), enquanto a Mandiant concentrou-se no conjunto de ferramentas denominado INCONTROLLER. O Malware Pipedream/INCONTROLLER para ICS permite que adversários escaneiem dispositivos ICS e SCADA e adquiram controle total sobre máquinas afetadas uma vez que o acesso inicial à rede de tecnologia operacional (OT) seja alcançado com sucesso. Além disso, os componentes do framework de ataque permitem explorar uma falha no Driver ASRock RGB, rastreado como CVE-2020-15368 (veja a regra baseada em Sigma acima). O próprio INCONTROLLER é uma composição de três ferramentas ICS de diferentes capacidades: TAGRUN, CODECALL e OMSHELL. Os componentes do INCONTROLLER mencionados acima são usados em várias etapas de um ataque.

Os cenários de ataque INCONTROLLER sugerem comparabilidade com as cepas de malware Triton, Student e Industroyer. Pesquisadores alertam que, à luz dos eventos atuais, i.e., a invasão russa na Ucrânia, os malwares INCONTROLLER e Pipedream têm uma capacidade alarmante de colocar em risco muitas infraestruturas críticas ao sabotar processos industriais da Ucrânia e de outros países que se opõem à agressão russa. Por exemplo, a última amostra da notória família de malware Industroyer, marcada como Industroyer2, recentemente foi notícia, com o grupo APT Sandworm por trás do ataque que paralisou a rede elétrica ucraniana.

Os pesquisadores enfatizam que a maioria dos dispositivos atingidos pelo INCONTROLLER são integrados com máquinas automáticas e frequentemente apresentam uma parte discreta das operações industriais. A escala completa das consequências ainda está por ser descoberta.

Em tempos difíceis, confie em ferramentas e recursos testados pelo tempo para garantir que seu sistema não seja um alvo fácil para cibercriminosos. Junte-se à SOC Prime para um futuro mais seguro. Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para otimizar suas operações de SOC com as melhores práticas e conhecimentos compartilhados.