A Cyber Security Kill Chain két posztban történt bemutatása után ma végre rátérünk az ipari rendszerek elleni kibertámadások sajátosságaira, amihez Michael J. Assante és Robert M. Lee, a SANS ICS biztonsági oktatóinak publikációját használtam fel.
Az ICS rendszerek elleni kibertámadások több szempontból is jelentős eltéréseket mutathatnak a vállalati IT rendszerek elleni támadásoktól, legyenek azok akár jelentős szakmai felkészültséget igénylő APT-támadások. Az ICS rendszerek elleni támadások esetében a támadások hatásai és összetettségük, valamint a támadók által az ipari környezetek és automatizált folyamatok ismerete mind jelentős különbséget mutat. Az ICS rendszerek elleni kibertámadások sikere nagyon nagy mértékben azon múlik, hogy a támadó mennyire jól ismeri és érti az egyes automatizált folyamatokat, az azok hátterében álló mérnöki döntéseket és a különböző biztonsági (safety) rendszerek működési elvét. Ahhoz, hogy egy támadó ennek a tudásnak a birtokába kerülhessen, két szintű támadást kell sikeresen végrehajtania a célba vett ICS rendszer ellen. Ez a több szintű támadás lehetőséget ad a védelem olyan kialakítására, hogy a támadóknak minél több erőforrást kelljen a támadásra fordítani, a célba vett szervezet biztonsági munkatársainak pedig javítja az esélyeit a támadás minél korábbi fázisban történténő észlelésére.
A két szintű támadás első szintje a támadó oldalán a tervezés, felkészülés és a támadás végrehajtása. A tervezés fázisban a CSKC felderítési feladatait hajtja végre a támadó, ahogy korábban írtam róla, bár nehéz a támadók felderítési és adatgyűjtési tevékenységét észlelni, azért korántsem lehetetlen, például különböző forgalom- és webes látogatottsági adatok elemzéséből beazonosítani azokat a támadói attribútumokat, amik adott esetben a felderítésben vesznek részt.
A támadás előkészítületi fázisában a "fegyverkezés", vagyis a támadó kódok előkészítése (weaponization) és a pontos célpontok meghatározása és kiválasztása (targeting) történik. Ehhez a támadók felhasználhatnak scripteket és különböző eszközöket, de végezhetik emberi erőforrásokkal is. Amennyiben a támadók több célpontot akarnak egyszerre támadni, ebben a fázisban dönthetik el, hogy melyik célpontot tartják fontosabbnak, mint a többit, vagy prioritást adhatnak a fontosabbnak tartott célpontnak.
Ebben a fázisban az ICS rendszereket védők szintén a CSKC bemutatásánál már ismertetett, széleskörű malware-analízist végezve készülhetnek fel a leginkább. Nagyon nagy előnye lehet a védőknek, hogy az ICS rendszerek nagyságrendekkel statikusabbak, mint a vállalati IT rendszerek, így egy, az ICS rendszerbe bejutó malware-t elvileg sokkal könnyebben észlelni lehet, hiszen a statikusság miatt sokkal könnyen alkalmazás fehérlistákat összeállítani és alkalmazni.
A következő fázis a betörés kísérlet. Ennek folyamán a támadóknak valamilyen módon be kell juttatniuk a támadáshoz használt malware-t vagy malware-eket a célba vett szervezet rendszerébe. Ehhez leggyakrabban adathalász e-maileket és/vagy e-mailekhez csatolt PDF fájlokat, vagy egyéb dokumentumokat, számolótáblákat szoktak használni az átlagos, vállalati hálózatok elleni kibertámadások esetén csakúgy, mint az ICS rendszerek elleni támadásoknál (erre a legszemléletesebb példa az ukrán áramszolgáltatók elleni, 2015. decemberi támadás volt, ahol XLS fájlokba bújtatott BlackEnergy v3 malware-t használtak a támadók a kezdeti hozzáférések megszerzéséhez.
A sikeres betörés után a támadók ebben az esetben is a hozzáféréseik biztosítását végzik el, felépítik a kommunikációs csatornáikat a különböző Command&Control (C2) szerverekhez és hozzákezdhetnek a támadás eredeti célját jelentő tevékenységekhez Itt ér véget az ICS Cyber Security Kill Chain első fázisa. A CSKC esetén megkezdődne az adatok ellopása, a bankszámlák kiürítése vagy a számos egyéb cél eléréséhez közvetlenül szükséges tevékenység.
Az ICS CSKC első szintje itt ér véget és itt fejezem be a mai posztot is, a jövő héten a második szinttel és az ICS rendszerek elleni támadás fázisaival fogom folytatni.
