I april 2022 utfärdade amerikanska myndigheter (CISA, NSA, FBI) ​​och Department of Energy en ny Cybersecurity Advisory-varning (CSA) om ökade hot mot industriella styr- och reglersystem,  (ICS)/SCADA-enheter. APT-aktörer (Advanced Persistent Threat) har utvecklat skräddarsydd skadlig kod som kan skanna efter, äventyra och kontrollera enheter efter framgångsrik initial åtkomst till det operativa tekniknätverket (OT). Verktygen har designats specifikt för:

• Schneider Electric PLC:er
• OMRON Sysmac NEX PLC:er
• Open Platform Communications Unified Architecture (OPC UA)-servrar

De kan också äventyra Windows-baserade arbetsdatorer, både i IT- och OT-miljöer, som använder ASRock-moderkort genom att utnyttja dess sårbara drivrutin. Det här kan leda till lateral förflyttning och access till ökade privilegier inom OT-miljön och så småningom leda till avbrott i kritiska enheter och funktioner. Flera nya typer av malware har börjat dyka upp med siktet inställt på de nämnda PLC:erna och SCADA-enheter.

Chernovites nya malware PIPEDREAM

Dragos har upptäckt den skadliga koden Pipedream som har SCADA-enheter som mål. Enligt Dragos har Pipedream utvecklats av Chenorvite Activity Group. Pipedream bör ses som ett ramverk för att attackera industriella styr- och reglersystem som kan påverka en mängd olika PLC:er och industriell programvara, inklusive specifika Omron, Schneider Electric PLC:er och OPC UA-servrar. Det intressanta är att Pipedream upptäckts redan innan den har använts mot ett mål.

– Det är ovanligt att skadlig kod analyserats innan den hunnit användas målinriktat mot infrastruktur. Det ger försvararen en unik chans att förbereda sig i förväg, säger Dragos i sitt whitepaper.

Chernovite kan manipulera hastigheten och vridmomentet hos Omrons servomotorer som används i många industrier. Det kan orsaka störningar eller förstörelse av industriella processer och leda till livshotande situationer.

Nya INCONTROLLER siktar på styr- och reglersystem

I samarbete med Schneider Electric har Mandiant analyserat det nya cyberangreppsverktyget INCONTROLLER, som har skapats för att manipulera och störa industriella processer och har siktet inställt på enheter i styr- och reglersystem. Mandiant bedömer att ”med tanke på den expertis och de resurser som krävs för att bygga kod på den här komplexitetsnivån samt dess begränsade användning i ekonomiskt verksamhet är INCONTROLLER sannolikt förknippad med en statssponsrad grupp”. Ingen specifik tillskrivning har gjorts.

INCONTROLLER består av tre verktyg som gör det möjligt för angriparen att skicka instruktioner till ICS-enheter med hjälp av industriella nätverksprotokoll. Trots att verktygen gör det möjligt för aktören att kommunicera med ett bredare urval av produkter från olika OEM-tillverkare, avslöjade forskarna moduler för specifika styrenheter från Schneider Electric och Omron. Målet är allt från  automatiseringslösningar för industrirobotar till komplexa modulära maskiner i distribuerad arkitektur.

Moduler som riktar sig mot specifika PLC:er indikerar att avsändaren har spanat på det primära målet eller målen, vilket ledde till avslöjandet av de använda PLC:erna i de här miljöerna och utvecklingen av de här modulerna. Det betyder att hotaktören sannolikt inte kommer att rikta sig mot slumpmässiga branscher.

INCONTROLLER jämförs med Triton, Industroyer och Stuxnet när det handlar om dess störande och destruktiva kapacitet.

Mitigering och skydd av styr- och reglersystem

Eftersom skadlig programvara ännu inte setts i verkliga implementeringar finns det inga specifika indikatorer på kompromettering (IOC). Däremot har CISA analyserat denna malware och skapat en lista på TTP:er (se nedan) i relation till MITER ICS Framework, som kan användas av säkerhetsteam för att utvärdera om tillräckliga detektionsmöjligheter finns på plats.

Dragos egna åtgärder för att mildra påverkan från Pipedream presenteras i tabellen nedan. Observera att även om Dragos specifikt nämnde Pipedream, rekommenderas dessa åtgärder för alla miljöer som bland annat använder Schneider Electric eller Omron PLC:er.

 

Tabell 1 – Försvar mot Pipedream, källa Dragos Inc.

Handling	Mål
Övervaka öst-västliga ICS-nätverk med ICS-protokoll varningsteknik (aware technologies)	Övervaka nätverkstrafik med fokus på öst-västlig trafik istället för bara kommunikation från nord till syd (ingång/utgång). PIPEDREAM:s förmåga att ta sig från användarens terminal till PLC och vidare till PLC betyder att det inte räcker att övervaka kommunikation från nord till syd eller fokusera på segregation. Leta specifikt efter modifieringar av PLC:er som inträffar utanför underhållsperioder, såsom ändringar av logiken i inbyggda ICS-protokoll.
Ändra standardinloggningsuppgifter	Tillsammans med drift- och platspersonal på Schneider Electric TM2xx-seriens PLC:er: Från och med programvara 5.0 använder enheterna standardinloggningsuppgifterna Administrator’/’Administrator’. När det är möjligt bör dessa  ändras till ett komplext lösenord med EcoStruxure-programvara.
Begränsa åtkomst till UDP/1740-1743,TCP/1105 och TCP/11740.	För alla PLC:er i Schneider Electric TM2xx-serien
Begränsa åtkomsten till TCP/11740.	För icke-Schneider PLC:er som kommunicera med denna port från användarens terminal.
Validera användarenhetens programvara – EcoStruxure Machine Expert.	Begränsa arbetsstationen från utgående nätverksanslutningar, särskilt till Internettjänster.
Analys av telemetri från PLC-nätverket	Kontrollera ovanliga interaktioner med PLC:er från icke-standardiserade arbetsenheter eller konton.
Övervaka nya utgående anslutningar hos berörda PLC:er.	Leta efter kommunikation till andra PLC:er i nätverket, på UDP/1740-1743, TCP/1105 och TCP/11740.
Inaktivera Schneider NetManage identifieringstjänst	Eftersom Schneider NetManage identifieringstjänst används av CHERNOVITE för att upptäcka PLC:er (se VA-2019-02) bör den inaktiveras.
Nätverksisolering av säkerhetssystem	Säkerställ nätverksisolering för säkerhetssystemkomponenter, övervaka säkerhetssystemnätverk för nya anslutningar eller enheter och verifiera att alla konfigurationsändringar är stämmer överens med ändringshanteringsprocedurer.
Handlingsplan vid ICS-incidenter.	Skapa och uppdatera en handlingsplan för ICS-incidenter med tillhörande Standard Operating Procedures (SOPs) och Emergency Operating Procedures (EOPs) för drift med ett försvårat eller försämrat kontrollsystem. Genomför en Table Top-övning fokuserad på CHERNOVITEs ICS Cyber ​​Kill Chain med tonvikt på PIPEDREAM och använd denna möjlighet för att identifiera process- och inhämtningsbrister (collection gaps) som kan hindra upptäckts- och svarsinsatser.
Isolera Mission Critical Skid Systems	Om möjligt: överväg att implementera fast I/O mellan kritiska skid systems och distribuerade styrsystem. I/O istället för direkt kommunikation om det går.
Reservdelslager	Skapa och uppdatera ett reservdelslager för kritiska kontrollsystemkomponenter, inklusive hårdvara, mjukvara, firmware, säkerhetskopior av konfigurationer och licensinformation. Ta fram planer och rutiner för inköp och upphandling av kritiska styrsystemkomponenter. Överväg implementeringen av kalla säkerhetskopior för snabb ersättning av ICS nivå ett-enheter.

 

Utifrån rekommendationer från DOE, CISA, NSA och FBI rekommenderar Conscia Threat Intelligence  följande allmänna riktlinjer för proaktiv mitigering:

• Isolera styr- och reglersystem, ICS/SCADA-system och nätverk från företags- och internetnätverk med starka perimeterkontroller och begränsa all kommunikation som går in i eller lämnar ICS/SCADA-perimetrar.
• Förstärk med multifaktorautentisering för all fjärråtkomst till ICS-nätverk och -enheter när möjligt.
•  Förbered en handlingsplan för cyberincidenter och öva regelbundet med personal från IT, cybersäkerhet och drift.
• Säkra snabb återställning vid eventuell attack med säkra säkerhetskopior som ligger offline och utför hash- och integritetskontroller på programvara och kontrollera konfigurationsfiler för att säkra säkerhetskopiernos giltighet.
• Begränsa ICS/SCADA-systemens nätverksanslutningar till specifika arbetsenheter.
• Skydda kontrollsystemen ordentligt genom att konfigurera Device Guard, Credential Guard och Hypervisor Code Integrity (HVCI). Installera Endpoint Detection and Response (EDR)-lösningar på dessa subnät och säkra att strikta antivirusinställningar (file reputation settings) är konfiguerade.
• Implementera robust logghantering och -lagring från styr- och reglersystem, ICS/SCADA-system och management subnets.
• Använd kontinuerlig OT-övervakningslösning som kontrollerar fientlig kommunikation och lateral förflyttning och larmar vid hotfulla signaler och beteenden. Överväg Industrial Control Systems Network Protocol Parsers (ICSNPP) för att få förbättrad nätverksvisibilitet och identifiera potentiellt onormal trafik.
• Säkra att applikationer bara installeras när nödvändigt.
• Använd bara administratörskonton när det behövs för specifika uppgifter, såsom att installera programuppdateringar.
• Undersök alla avbrott i tjänsten eller anslutning som visar sig i form av förseningar i kommunikationsprocessen, krav på omstart eller signaler på potentiellt skadlig aktivitet.

Ytterligare källor och referenser:

För mer information om specific skadlig kod riktad mot styr- och reglersystem, vänligen se här:

• CISA Cyber Tools Targeting ICS / SCADA Devices
• Chernovite’s PIPEDREAM Malware Targeting ICS
• INCONTROLLER state-sponsored ICS Tool

Se även följande CISA-riktlinjer för att säkra OT-enheter och höja er ICS/OT-säkerhet:

• Layering Network Security Through Segmentation,
• Stop Malicious Cyber Activity Against Connected Operational Technology, and
• NSA and CISA Recommend Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems.