Quando você lê relatórios sobre ataques cibernéticos que afetam a tecnologia operacional (TO), é fácil se deixar levar pelo hype e presumir que cada um deles é sofisticado. Mas será que os ambientes de TO em todo o mundo estão realmente cercados por uma barragem constante de ataques cibernéticos complexos? Responder a isso exigiria analisar os diferentes tipos de ataques cibernéticos de TO e, em seguida, analisar todos os ataques históricos para ver como esses tipos se comparam.
Os tipos de ataques cibernéticos de TO
Nas últimas décadas, tem havido uma consciência crescente da necessidade de melhores práticas de segurança cibernética na contraparte menos conhecida de TI, a TO. Na verdade, os limites do que constitui um ataque cibernético à TO nunca foram bem definidos e, na verdade, tornaram-se ainda mais confusos ao longo do tempo. Portanto, gostaríamos de começar esta postagem com uma discussão sobre as maneiras pelas quais os ataques cibernéticos podem atingir ou simplesmente impactar a TO, e por que pode ser importante para nós fazermos essa distinção daqui para frente.
 |
| Figura 1 A arquitetura de referência empresarial Purdue |
Como estamos definindo o AT
Antes de definirmos qualquer tipo de ataque cibernético de TO, precisamos definir o que consideramos como TO. A maioria dos ambientes de TO são únicos devido a vários fatores, como os diferentes aplicativos e casos de uso, os diversos ecossistemas de fornecedores e o simples fato de que existem diversas maneiras de projetar um processo físico, para citar alguns. Por causa disso, é útil recorrer à Purdue Enterprise Reference Structure (PERA), comumente conhecida como Modelo Purdue, representada na Figura 1.
Do início, começa delineando os níveis 4 e 5 como a Zona Empresarial, onde a TI tradicional é encontrada. Em seguida vem o nível 3.5, a Zona Desmilitarizada (DMZ), que atua como um separador entre TI e TO e, portanto, o perímetro do TO. Os níveis restantes abaixo da DMZ são todos OT. Os níveis 2 e 3 são semelhantes no sentido de que ambos podem monitorar, controlar e até configurar o ambiente físico. Contudo, o nível 2 é tipicamente específico de uma única célula ou processo e talvez até fisicamente próximo, enquanto o nível 3 é geralmente centralizado, particularmente em organizações geograficamente dispersas. O nível 1 é o coração da TO, onde dispositivos como controladores lógicos programáveis (CLPs) detectarão e atuarão no mundo físico de acordo com a lógica que lhes foi fornecida. Por fim, chegamos ao nível 0, que, para todos os efeitos, é o mundo físico e contém os sensores e atuadores que os PLCs utilizam para manipulá-lo.
O Safety Navigator 2024 está aqui – Baixe agora
O recém-lançado Safety Navigator 2024 oferece insights críticos sobre as ameaças digitais atuais, documentando 129.395 incidentes e 25.076 violações confirmadas. Mais do que apenas um relatório, serve como um guia para navegar num cenário digital mais seguro.
O que há dentro?
- 📈 Análise aprofundada: Discover tendências, padrões de ataque e previsões. Aprenda com estudos de caso em CyberSOC e Pentesting.
- 🔮 Pronto para o futuro: Equipe-se com nossas previsões de segurança e resumo de pesquisa.
- 👁️ Dados em tempo actual: Da vigilância da Darkish Internet às estatísticas específicas do setor.
Fique um passo à frente na segurança cibernética. Seu guia essencial o aguarda!
🔗 Obtenha sua cópia agora
Os diferentes tipos de ataques cibernéticos de TO não são necessariamente definidos pelos ativos que impactam, mas sim pelos ativos que visam e como são direcionados. Mais especificamente, a precisão, o conjunto de habilidades e a intenção com que são direcionados. Embora essa distinção possa parecer pedante, ela muda o cenário de ameaças que os defensores precisam considerar e dificulta o acompanhamento dos controles tradicionais de TI. Existem 5 tipos de ataques cibernéticos de TO que podem ser agrupados em duas categorias distintas; vamos explorá-los.
Categoria 1: TTPs de TI
A primeira categoria de ataques cibernéticos sofridos pela TO é a mais frequente nos relatórios públicos. Eles são caracterizados pelo uso apenas de táticas, técnicas e procedimentos de TI (TTPs), mas ainda conseguem afetar a produção de alguma forma. Existem 3 tipos de ataque cibernético de TO nesta primeira categoria.
Tipo 1a: TI direcionado
O primeiro tipo, 1a, ocorre quando o ambiente de TO nem sequer é alcançado por um adversário. Assim, no que diz respeito ao adversário, o seu ataque não tem como alvo o TO da vítima. Em vez disso, há impactos em cascata de um ataque cibernético de TI incontido, como a extorsão cibernética (Cy-X), que atrasa os sistemas de envio que exigem a interrupção da produção. Os impactos de TO disso podem variar desde uma perda temporária de telemetria até uma perda completa de produção e um processo complexo e demorado para colocá-la novamente on-line. É importante observar que todo tipo de ataque cibernético de TI também pode resultar em uma desconexão ou desligamento do ambiente de TO como parte dos esforços de resposta e recuperação, o que acabaria por causar efeitos semelhantes.
Tipo 1b: TI/TO direcionado
O segundo tipo, 1b, é quando o AT é alcançado por um adversário por acidente ou apenas porque poderia. Ainda realizando TTPs de TI, o adversário pode implantar ransomware ou exfiltrar dados para dupla extorsão. Contudo, talvez devido a uma DMZ fraca ou inexistente, o ataque do adversário pode estender-se a alguns ativos de TO nos níveis 2 ou 3 do Modelo Purdue. Os ativos de TO afetados podem incluir dispositivos como estações de trabalho de engenharia, interfaces homem-máquina (IHMs) baseadas em Home windows e outras tecnologias baseadas em TI. Embora o adversário tenha conseguido afetar diretamente os ativos de TO, o direcionamento geralmente não é deliberado. O impacto desse tipo de ataque pode incluir perda de configurabilidade ou até mesmo de controle do ambiente de TO.
Tipo 1c: AT direcionado
O terceiro tipo nesta categoria, 1c, é o mais matizado e o mais próximo da categoria seguinte. Aqui, um adversário com pouca ou nenhuma capacidade de TO pode visar deliberadamente os ativos de TO baseados em Home windows de uma organização com TTPs de TI. Isso pode desencadear uma resposta maior da vítima ou causar um impacto mais sério do que apenas afetar a TI. Este tipo de ataque pode visar deliberadamente ativos de TO, mas apenas aqueles com os quais um adversário focado em TI estaria familiarizado. Caso contrário, não há intenção ou utilização específica de TO em tal ataque, nem há qualquer precisão na forma como a produção é impactada. Tal como acontece com o tipo 1b, o impacto deste tipo de ataque pode incluir perda de configurabilidade ou controle do ambiente de TO, e a produção provavelmente só será afetada por efeitos em cascata ou por esforços de resposta e recuperação.
Categoria 2: TTPs do AT
A segunda categoria inclui os dois tipos que provavelmente vêm à mente sempre que ataques cibernéticos de TO são mencionados. Estes são caracterizados pela inclusão de TTPs específicos da TO e têm a intenção principal de afetar diretamente a produção de alguma forma.
Tipo 2a: OT direcionado, bruto
O quarto tipo geral e o primeiro da segunda categoria, 2a, é às vezes conhecido como 'ataque incômodo'. Este tipo de ataque cibernético baseia-se no fato de o adversário chegar ao AT, independentemente da DMZ. Ele aproveita conhecimentos rudimentares específicos de TO e TTPs, mas de uma forma direta e com pouca precisão ou complexidade. Em vez de apenas interromper ativos baseados no Home windows, como nos ataques de categoria 1, pode ter como alvo ativos de TO em níveis mais profundos do Modelo Purdue, mais próximos do processo físico, como PLCs e unidades de telemetria remota (RTUs). As técnicas específicas de TO utilizadas são rudimentares e frequentemente utilizam estruturas e ferramentas de exploração conhecidas publicamente. O impacto desse tipo de ataque cibernético de TO geralmente envolverá a interrupção do ciclo dos CLPs ou a alteração imprecisa das saídas do CLP. Isto sem dúvida afetará a produção, mas esses ataques contundentes são muitas vezes evidentes e desencadeiam uma resposta rápida e um esforço de recuperação.
Tipo 2b: TO direcionado, sofisticado
O tipo closing, 2b, é o mais avançado, mas também o mais raramente observado. Ao exercer capacidade avançada de TO, esses ataques cibernéticos são precisos e complexos tanto na execução quanto no impacto. Eles envolvem ampla compreensão do processo, uma tática específica do TO de coleta de informações para compreender o ambiente físico e como o TO interage com ele. Os adversários elaboram um ataque feito sob medida para o ambiente do AT no qual se estabeleceram e o afetam de maneira muito deliberada. Os possíveis impactos causados por este tipo de ataque cibernético de TO são quase ilimitados, mas dependem muito do processo em consideração. É improvável que os impactos sejam evidentes ou simples, como a interrupção do processo, a menos que sejam de forma extrema e permanente. Em vez disso, é mais provável que os impactos pretendidos envolvam, por exemplo, a degradação furtiva do processo ou a exfiltração de detalhes do mesmo para replicá-lo noutro native.
Por que isso é importante
Parece que há uma tendência para ataques de categoria 1 (como apontamos anteriormente neste weblog), o que pode estar nos salvando do tão alardeado apocalipse do Antigo Testamento. Muitos controles e conceitos atuais de segurança cibernética de TO são emprestados da TI e, como tal, são melhores na detecção e prevenção de ataques de categoria 1. No entanto, à medida que o acesso ao conhecimento e ao equipamento aumenta e à medida que os adversários desenvolvem melhores capacidades para atacar especificamente a TO, existe uma possibilidade actual de vermos um número crescente de ataques de categoria 2. Desenvolver os controles de segurança cibernética de TO relevantes para detectá-los e preveni-los é o primeiro passo na preparação para isso. Para fazer isso, precisamos distinguir as categorias e tipos de ataques para entender melhor como e quando esses ataques de categoria 2 estão aumentando.
35 anos de ataques cibernéticos de TO
Os tipos de ataques cibernéticos de TO que definimos e as razões pelas quais são importantes dependem de algumas afirmações ousadas. Então, em vez de esperar que você acredite em nossa palavra, pensamos em colocá-los à prova. Para fazer isso, coletamos e analisamos todos os ataques cibernéticos de TO relatados publicamente que pudemos encontrar de 1988 a 2023. Abaixo está um trecho de nossa análise; a versão completa e a metodologia transparente podem ser encontradas no Safety Navigator 2024.
O aspecto mais notável dos 35 anos de ataques cibernéticos de TO foi o aumento de ataques perpetrados por criminosos cibernéticos a partir de 2020. Este aumento está em linha com o advento da dupla extorsão e, portanto, está em conformidade com os nossos dados Cy-X.
 |
| Figura 2 Contagem de setores vítimas por ano |
O aumento da dupla extorsão não mudou apenas os tipos gerais de adversários que atacam a TO; também mudou os setores de vítimas afetados. Quando desagregamos os sectores vítimas por ano, também vemos uma mudança significativa de uma gama diversificada de sectores para uma forte concentração na indústria transformadora. No entanto, dado que Cy-X tende a favorecer a produção, isso faz sentido.
 |
| Figura 3 Fluxos de ano para adversário, para categoria, para tipo, para profundidade de Purdue |
A Figura 3 mostra os fluxos de ataques cibernéticos de TO. O ano de um ataque, agrupado em intervalos de 5 anos para maior clareza, flui da esquerda para o adversário que conduziu o ataque. O fluxo de ataque continua desde o adversário até a categoria de ataque cibernético de TO, até o tipo. Finalmente, o tipo de ataque flui para uma representação do nível mais profundo do Modelo Purdue que o ataque alcançou em termos de direcionamento (pode ter impactado completamente o TO, mesmo a partir do Nível 5).
A conclusão imediata desta visualização é o aumento drástico na frequência de ataques em 2020, que viu, de forma esmagadora, criminosos cometerem TTPs de TI contra alvos de TI, resolvidos nos níveis 4 e 5 do Modelo Purdue. Isto reforça as duas narrativas que descrevemos que ocorreram antes e depois do advento da dupla extorsão em 2020.
Aprofundando uma análise mais profunda das categorias e tipos, fica claro que um número significativamente maior de ataques cibernéticos que causam impacto de TO são de categoria 1 e utilizam apenas TTPs de TI em 83% do complete. Isto é reforçado pela grande representação de ataques do tipo 1a, 60% do complete, que visam especificamente a TI, ou seja, os níveis 4 e 5 do Modelo Purdue. Em comparação, os ataques que incluíram o uso de TTPs OT foram mal representados, com 17% do complete.
Então, para onde vamos a partir daqui? O que o futuro reserva? Os ataques cibernéticos de TO são apenas TTPs de TI sobre alvos de TI e impacto circunstancial de TO? Ou será que veremos o ataque implacável dos criminosos voltar-se para ataques de categoria 2, em busca de maior brutalidade?
Os criminosos recorrerão aos TTPs do OT?
Independentemente das organizações que utilizam TO, os atuais ataques Cy-X tipo 1a parecem ser relativamente lucrativos para os criminosos, e a verdadeira pandemia pode piorar antes de melhorar. No entanto, se as organizações começarem a desenvolver resiliência aos ataques Cy-X contemporâneos, seja através de bons processos de backup ou de outra forma, é lógico que o modus operandi (MO) criminoso mude. Dada a prevalência de organizações que usam TO como vítimas Cy-X, poderíamos ver que a mudança no MO seria em direção a ataques cibernéticos de TO de categoria 2? Felizmente, para facilitar uma discussão em torno dessa questão, podemos recorrer à teoria das atividades rotineiras (RAT).
RAT é uma teoria criminológica que afirma que um crime provavelmente ocorrerá desde que três elementos estejam presentes: um infrator motivado, um alvo adequado e a ausência de um tutor capaz. Aqui faremos uma breve discussão sobre cada ponto com base no que vimos até agora.
Ofensor motivado
Como pode ser visto nos dados de ataques cibernéticos de TO que apresentamos aqui, por qualquer motivo, os criminosos atualmente têm uma queda por organizações que usam TO. Além do mais, a forma como os atuais ataques Cy-X afetam descuidadamente os ambientes de TO das suas vítimas deixa claro que os criminosos não estão preocupados com as consequências físicas. Ou isso, ou possivelmente estão causando ameaças à segurança intencionalmente. Por último, se observarmos um declínio nos pagamentos de resgate para Cy-X focado em TI, isso provavelmente pressionará os criminosos a mudarem seu MO para algo para o qual suas vítimas estejam menos preparadas defensivamente.
Alvo adequado
Os criminosos podem já estar a visar especificamente organizações que utilizam a TO porque consideram valioso o efeito de impactar a produção. Se os métodos existentes para fazer isso, como ataques Cy-X tipo 1a, perderem confiabilidade, os criminosos poderão tentar atingir diretamente o TO. Nos nossos dados, 40% de todos os ataques cibernéticos de TO e 16% daqueles conduzidos por criminosos conseguiram atingir a tecnologia operacional para afetá-la. Estes foram ataques cibernéticos do tipo 1b, 1c, 2a ou 2b OT. Os adversários e, em menor grau, os criminosos já estão acessando ambientes de TO. Caso eles exijam acesso para atingir deliberadamente o AT, não é inconcebível que os criminosos sejam capazes de alcançá-lo.
Uma consideração importante sobre se a TO é um alvo adequado é o seu contexto desconhecido para a maioria dos criminosos. No entanto, embora precisassem desenvolver capacidade técnica, há uma base crescente de conhecimento de segurança cibernética de TO na forma de cursos, livros, palestras e até conferências dedicadas com as quais poderiam aprender. Além disso, os dispositivos TO, como PLCs e IHMs, estão se tornando menos proibitivamente caros para aprendizado e eventuais testes de ataque. Tudo isto culmina na redução das barreiras à entrada do ponto de vista técnico.
O ponto mais elementary desta componente é a adequação da própria organização vítima. Essa adequação inclui uma grande superfície de ataque, tempo disponível para o adversário conduzir o ataque e o valor que ativos específicos podem ter para a vítima. Como podemos ver nos ataques Cy-X históricos, os adversários já estão encontrando muitas vulnerabilidades para explorar em suas vítimas e claramente não encontram com frequência o que seria descrito como melhores práticas de segurança cibernética.
O tempo de atividade e a eficiência de um ambiente de TO geralmente são bem quantificados, o que significa que o valor do impacto da TO provavelmente não é tão nebuloso quanto os dados criptografados ou vazados. Tudo isto apresenta um alvo claramente adequado nas organizações que utilizam TO.
Ausência de um guardião capaz
Se os criminosos considerarem deixar de conduzir Cy-X de categoria 1 com TTPs de TI, isso será principalmente em resposta à tutela eficaz dos controles de segurança cibernética de TI. Portanto, eles podem explorar o desafio encontrado na defesa contra TTPs de OT causado pela falta de controles disponíveis feitos especificamente para OT.
É claro que os controlos técnicos de segurança não são a única forma de guardião capaz. O RAT considera outras formas de tutela, como a tutela casual (comunitária) e a tutela formal. Esta última, a tutela formal, implica esforços envidados pelas autoridades e pelos governos. Em última análise, a TO enfrentará os mesmos desafios na perturbação do ecossistema criminoso e, portanto, a ausência de um guardião capaz, ou a sua eficácia na perturbação do crime, é uma perspectiva realista.
Um POC: PLC do Homem Morto
Embora estejamos considerando se pode haver uma mudança para criminosos que visam a TO com ataques cibernéticos de categoria 2, temos trabalhado em algumas pesquisas especulativas interessantes. Culminou em uma nova e pragmática técnica Cy-X direcionada especificamente contra dispositivos OT; em explicit, PLCs e suas respectivas estações de trabalho de engenharia. Chamamos-lhe PLC do Homem Morto.
O PLC do Lifeless Man começa na estação de trabalho de engenharia, o ativo onde os engenheiros criarão configurações e as carregarão nos PLCs em todo o ambiente TO. Como vimos, não faltam ataques cibernéticos de TO que atingem as profundezas do Modelo Purdue, onde as estações de trabalho de engenharia podem residir – geralmente níveis 2 ou 3, dependendo de vários fatores.
Quando o criminoso está na estação de trabalho de engenharia, ele pode visualizar o código PLC “ao vivo” existente em seus arquivos de projeto, editá-los e baixar novas configurações para os PLCs. O PLC do Lifeless Man aproveita essa capacidade, bem como a funcionalidade OT existente e os controles de segurança raramente usados, para manter todo o processo operacional da vítima e, por procuração, o mundo físico sob resgate.
O PLC do Lifeless Man funciona adicionando ao código PLC operacional legítimo para criar uma rede de monitoramento secreta, na qual todos os PLCs permanecem funcionais, mas estão constantemente pesquisando uns aos outros. Se a rede de pesquisa detectar qualquer tentativa da vítima de responder ao ataque, ou se a vítima não pagar o resgate a tempo, a pesquisa será interrompida e o PLC do Lifeless Man será acionado de forma semelhante a um interruptor do Lifeless Man e detonará. A detonação envolve a desativação do código legítimo do PLC, responsável pelo controle e automação do processo operacional, e a ativação de códigos maliciosos que causam danos físicos aos dispositivos operacionais. Isto deixa a vítima sem outra opção realista a não ser pagar o resgate; o seu único outro método de recuperação alternativo é desligar e substituir sem problemas todos os PLC afetados no seu processo operacional, o que lhes custará tempo de produção perdido, bens danificados e o custo de novos ativos.
Se você quiser ler mais sobre o PLC do Lifeless Man e como ele funciona, aqui está um artigo de pesquisa dedicado a esse tópico.
Resumo: O que tudo isso significa?
Esta análise explorou a história dos ataques cibernéticos de TO para compreender o cenário em mudança e o que poderemos enfrentar no futuro iminente. Os dados recentes de 2020 em diante, quando divididos em categorias e tipos, mostram que não devemos acreditar no hype dos ataques cibernéticos de TO. Em vez disso, deveríamos nos concentrar em resolver o problema do Cy-X no curto prazo. Isto significa construir resiliência operacional e confiança na nossa TO para resistir a ataques nos níveis 4 e 5 do Modelo Purdue. Estamos, no entanto, conscientes de que é mais fácil falar do que fazer.
Também não seria prudente declarar abertamente que os criminosos começarão a atacar a OT com novas técnicas Cy-X em resposta a pagamentos de resgate menos confiáveis.
No entanto, também não seria prudente dizer que isso nunca irá acontecer. Correndo o risco de ficarmos em cima do muro, diremos que há uma possibilidade genuína de vermos o Cy-X evoluir para atingir ativos específicos de OT; pode ser necessário apenas um grupo Cy-X particularmente inovador para fazer isso.
Esta é apenas uma versão resumida de uma das histórias encontradas no Safety Navigator. Outras pesquisas interessantes, como um estudo sobre Hacktivismo e uma análise do aumento da Extorsão Cibernética (bem como uma série de outros tópicos de pesquisa interessantes), também podem ser encontradas lá. É gratuito, então dê uma olhada. Vale a pena!
Observação: Esta peça informativa foi habilmente elaborada e contribuída por Dr.Ric DerbyshirePesquisador Sênior de Segurança, Orange Cyberdefense.
