FireEye advierte sobre la proliferación de herramientas de pirateo ICS listas para usar


Los investigadores de seguridad de FireEye advierten que la proliferación de herramientas de piratería con capacidades para atacar sistemas de control industrial (ICS) está bajando la barra de entrada para los atacantes y aumentando los riesgos para las organizaciones que operan en el sector industrial.

En un estudio publicado hoy, la firma de ciberseguridad de EE. UU. dijo que analizó todas las herramientas de piratería con capacidades de orientación de ICS que se lanzaron en los últimos años.

«Si bien algunas de las herramientas incluidas en nuestra lista fueron creadas ya en 2004, la mayor parte del desarrollo se llevó a cabo durante los últimos 10 años», dijo FireEye hoy.

La mayoría de las herramientas eran independientes de los proveedores, dijo la compañía, que tenían la capacidad de buscar indicadores genéricos que generalmente se encuentran en todas las redes de ICS.

Sin embargo, FireEye dijo que también encontró herramientas que se desarrollaron para dirigirse a proveedores específicos de ICS, lo que sugiere que fueron creadas explícitamente para piratear un sistema en individual.

Aquí, según FireEye, el proveedor de ICS más específico fue Siemens, con el 60% de las herramientas específicas del proveedor dirigidas a sus productos.

La mayoría de las herramientas se centran en el descubrimiento y la explotación de redes.

Pero FireEye también señaló que las herramientas de pirateo dirigidas a redes y dispositivos ICS también eran muy diversas. Los investigadores encontraron herramientas para una amplia variedad de propósitos.

Por ejemplo, los investigadores encontraron herramientas para escanear redes para dispositivos específicos de ICS, herramientas para explotar vulnerabilidades en equipos de ICS, herramientas para interactuar con redes de radio de malla generalmente empleadas para interconectar dispositivos ICS, y varias otras (ver imagen a continuación).

ics-attack-types.png

Clases de herramientas de intrusión y ataque específicas de ICS

Este amplio espectro de herramientas significa que los actores de amenazas pueden construir un arsenal ofensivo completo al confiar en herramientas disponibles públicamente en lugar de construir todo desde cero.

Sin embargo, esto no solo decrease el listón y el esfuerzo que los actores avanzados (patrocinados por el estado) necesitan para armar un arsenal ofensivo, sino que también minimize el listón para los actores de amenazas poco calificados.

Los actores de amenazas que no tienen ningún conocimiento técnico sobre cómo funciona un equipo industrial pueden organizar ataques contra objetivos de ICS con solo presionar unos pocos botones.

Para las organizaciones, la proliferación de estas herramientas de pirateo de ICS entre los actores de amenazas significa que, en lugar de tener que protegerse contra un pequeño conjunto de grupos de pirateo con un arsenal limitado, ahora tienen que protegerse contra todo tipo de piratas informáticos y todas las herramientas disponibles actualmente en el mercado.

Immunity tiene la mayoría de los módulos ICS, pero tenga cuidado con Metasploit

Según FireEye, la mayoría de las herramientas de pirateo de ICS que han rastreado para este estudio fueron módulos para tres de los marcos de prueba de penetración más populares de la actualidad: Metasploit, Core Impression e Immunity Canvas.

Estas son herramientas gratuitas (Metasploit) y comerciales (Core Influence, Immunity Canvas) que las empresas de seguridad y los investigadores de seguridad utilizan al evaluar la seguridad de una empresa que contrató sus servicios.

Sin embargo, los atacantes también aman y usan regularmente estas herramientas también.

Si bien los tres marcos de prueba de la pluma se diseñaron para objetivos genéricos, también se pueden usar para probar la seguridad de las redes industriales a través de módulos de explotación específicos de ICS.

FireEye dijo que actualmente rastrea los módulos específicos de ICS para estos tres marcos que están vinculados a más de 500 vulnerabilidades.

Si bien Immunity Canvas tiene la mayoría de los módulos específicos de ICS de los tres marcos de prueba de pen, FireEye advierte que las empresas deben prestar mucha atención a Metasploit. La razón es que Metasploit es un proyecto de código abierto, y esto lo hace más accesible para los actores de amenazas que los otros dos, generalmente bloqueados detrás de las licencias y los procesos de investigación.

Además, los módulos de pirateo de ICS para estos tres marcos también se distribuyen de manera más uniforme entre los proveedores, con exploits disponibles para casi todos los grandes nombres.

ics-vendors.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/03/23/11206a22-99f0-4abc-88bc-d4c23440c503/ics-vendors.png

Proveedores con 10 módulos de explotación o más

Además, FireEye dice que desde 2017, los usuarios de la comunidad de código abierto también han trabajado en el desarrollo de un marco de prueba de penetración específico de ICS, que se centra principalmente en el tipo de redes y vulnerabilidades que se encuentran solo en entornos de ICS.

Algunos de los marcos de prueba de pluma específicos de ICS más notables incluyen Autosploit, el Marco de explotación industrial (ICSSPLOIT) y el Marco de explotación de seguridad industrial.

En el futuro, FireEye advierte que las empresas deben ser conscientes de la presencia de estas herramientas y sus características avanzadas, y adaptar los indicadores de riesgo para sus escenarios de amenazas en consecuencia.

Los equipos de seguridad de las empresas que ejecutan equipos industriales deben usar estas herramientas para evaluar y asegurar sus sistemas, pero también deben tener medidas defensivas para contrarrestar su uso en manos de un atacante.



Enlace a la noticia first