Forescout Proof-of-Concept IoT i OT skuteczny atak ransomware
W projekcie demonstracyjnym naukowcy włamali się do kamery IP i uzyskali dostęp do infrastruktury informatycznej i operacyjnej, aby umieścić pliki wykonywalne oprogramowania ransomware
Nowe badania pokazują, że cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach urządzeń Internetu rzeczy i technologii operacyjnych OT połączonych z protokołem IP w celu rozpowszechniania oprogramowania ransomware w przedsiębiorstwie. W raporcie z 1 czerwca 2022 opublikowanym przez Vedere Labs firmy Forescout Technologies naukowcy przedstawili w swojej koncepcji nowy typu ataku, który nazywają oprogramowaniem ransomware dla IoT (R4IoT). Złośliwe oprogramowanie nowej generacji włamuje się do sieci za pośrednictwem urządzeń IoT, a następnie uzyskuje dostęp do infrastruktury IT i OT, powodując m.in. zakłócenia krytycznych operacji biznesowych i eksfiltrację danych. Podczas demonstracji na poniższym wideo zespół Forescout włamał się do kamery IP podłączonej do fikcyjnego szpitala i wykonał zdalne polecenie, które pozwoliło naukowcom przejąć kontrolę nad komputerem z systemem Windows w sieci szpitalnej.
Źródło Forescout – Symulacja ataku z zastosowaniem RIoT, przeprowadzonego w szpitalu
Według badaczy, dwóch producentów kamer IP – Hikvision i Axis – stanowi 77% kamer wykorzystywanych w sieciach korporacyjnych, a obaj dostawcy mają wiele znanych luk w zabezpieczeniach, umożliwiających wykonanie kodu. Ponad pół miliona urządzeń IoT korzysta z domyślnych konfiguracji VLAN1, co wskazuje, że urządzenia IoT i systemy IT nie znajdują się w sieciach segmentowanych. „Połączenie kamer IP i systemów diagnostycznych – lub innych urządzeń o znaczeniu krytycznym dla firmy – w tej samej sieci VLAN oznacza, że istnieje ścieżka do rozprzestrzeniania się ataku z niezabezpieczonej kamery na krytyczne urządzenie” – czytamy w raporcie. Eksperyment Vedere Labs pokazał również, w jaki sposób urządzenia ze słabymi danymi uwierzytelniającymi mogą być łatwo wykorzystywane przez cyberprzestępców. Po wejściu do sieci atakujący mogą również eskalować uprawnienia w systemach informatycznych i wdrażać oprogramowanie ransomware, koparki kryptowalut oraz wykorzystywać podatności infrastruktury OT w celu zakłócania operacji biznesowych. Urządzenia IoT stają się coraz bardziej powszechne, przez co każdego dnia odkrywane są nowe podatności tych urządzeń. Naukowcy stwierdzili, że głównym celem przeprowadzonej koncepcji było podkreślenie ewoluującego charakteru ataków ransomware i pokazanie zagrożeń związanych z sieciami OT. Badanie wskazuje na dwa przyszłe trendy: „IoT jako punkt wejścia i OT jako cel ataków”. Aby zaradzić tym potencjalnym zagrożeniom, Vedere Labs zasugerowało załatanie luk w zabezpieczeniach po ich wykryciu, wdrożenie uwierzytelniania wieloskładnikowego, segmentacji sieci i bardziej rygorystycznych zasad siły i wygaśnięcia haseł. „Najważniejszym przesłaniem tego raportu jest to, że exploity IoT i OT są nowymi narzędziami w arsenale napastników, ale także, aby złagodzić tego typu ataki, wymagane są rozwiązania, które pozwalają na szeroką widoczność i zwiększoną kontrolę wszystkich zasobów w sieci, ” wskazuje Vedere Labs w raporcie.
Forescout jest producentem rozwiązania do zarządzania i kontroli dostępu do sieci.
CounterACT, w porównaniu do typowych produktów technologii Network Access Control (NAC), jest rozwiązaniem bez agentowym umożliwiającym wykrywanie, identyfikowanie i kontrolę każdego urządzenia podłączonego do sieci IT oraz OT (SCADA/ICS).
Device visibility – pasywnie monitoruje wszystkie urządzenia w sieci i zapewnia widoczność zarządzanych i niezarządzanych urządzeń, w tym IoT.
Wykrywanie i reagowanie na incydenty – wykrywa złośliwe zachowanie urządzeń i zapewnia reakcję na incydenty, także w przypadku wykrycia niebezpiecznych urządzeń niezarządzanych (m.in. integracja z firewallami, przełącznikami, itp.).
NAC kontrola – ciągłe skanowanie sieci i monitorowanie aktywności każdego urządzenia zapewnia automatyzację i egzekwowanie kontroli na podstawie reguł dotyczących dostępu do sieci oraz zgodności urządzeń końcowych z polityką bezpieczeństwa.
Integracja z ponad 70 producentami rozwiązań sieciowych i bezpieczeństwa. Wymiana informacji, automatyzacja procesów zarządzania oraz automatyczna reakcja na incydenty zapewniają zwiększenie poziomu zabezpieczenia sieci. Poza podstawową platformą Forescout oferuje dodatkowe moduły, które umożliwiają integracje z rozwiązaniami firm trzecich, m.in NGFW – CheckPoint, Palo Alto Networks, PAM – CyberArk, SIEM – Juniper (QRadar), VA – Rapid7 czy też EMM – MobileIron.
Widoczność – dążenie do zapewnienia 100% wykrywalności podłączonych urządzeń oraz ich identyfikacji. Wykorzystywane jest repozytorium ForeScout Device Cloud, które jest automatycznie uzupełniane w czasie rzeczywistym przez informacje zwrotne od klientów.
SCADA / OT SECURITY – Wykrywanie anomalii w sieci przemysłowej oparte na analizie zachowania i dopasowywaniu wzorców szkodliwej aktywności. Automatycznie wykrywa zasoby, wizualizuje ścieżki komunikacyjne aż do najniższych poziomów sieci OT gdzie kontrolowane są procesy technologiczne. Pasywny system monitorowania – nie wywiera żadnego wpływu na sieć OT, nie jest wymagane aktywne skanowanie, nie ma potrzeby instalowania oprogramowania na urządzeniach końcowych. Wysyła alarmy bezpieczeństwa SOC za pomocą SYSLOG.