Что такое кибератаки пятого поколения
Атаки пятого поколения: проблемы безопасности промышленных систем управления в сетях 4G/5G
Кампусные сети 4G/LTE и 5G в промышленных условиях позволяют удовлетворить растущие требования к доступности связи с низкой задержкой без затрат на фиксированные линии. Однако как переход к 5G, так и внедрение кампусных сетей высвечивают проблемы безопасности, которые усугубляются тем, что телекоммуникации и IT/OT относятся к разным областям знаний. В этом посте мы поделимся результатами изучения безопасности кампусной сети 5G вымышленного сталелитейного завода Trend Micro Steel Mill.
Источник (здесь и далее): Trend Micro
О заводе TM Steel Mill
Мы разработали и провели атаки на вымышленный сталелитейный завод Trend Micro. Сценарии варьировались от обычных атак TCP/IP, таких как MitM-атака и модификация пакетов «на лету», до схем, специфичных для телекоммуникаций. Для этого мы построили эмуляцию сети кампуса:
Полная схема сети кампуса сталелитейного завода
При построении учитывались особенности такого рода предприятий. На сталелитейном заводе система управления должна регулировать множество параметров — температура, поток воздуха и давление в печи и проч. Ещё на таком предприятии контролируется смесь ингредиентов, необходимых для получения различных стальных сплавов. А сплавы, в которых количество и состав ингредиентов различаются, требуют разных температур для правильного создания. Если ингредиенты неверны, то температуры, используемые для изготовления сплава, также будут неверны. В таком случае продукт перестанет соответствовать требованиям заказчика, что приведёт финансовым потерям.
По легенде компания Steel Mill решила обновить свою инфраструктуру с помощью кампусной сети 5G. При этом из-за ограниченного бюджета компания всё ещё использует довольно много устаревших устройств.
В качестве сотового маршрутизатора применён Sierra Wireless RV50x. Его выбрали потому, что Sierra Wireless — широко используемая марка промышленных маршрутизаторов сотовой связи в США и поддерживает частоты нашей базовой станции, а также IPsec, VPN, переадресацию портов и службу коротких сообщений (SMS).
Чувствительными данными в нашей сети являются температура, поток воздуха и давление. Если любое из этих значений будет подделано, стальной сплав может быть испорчен. Такие данные приходят с термопар, анализаторов кислорода и датчиков давления поступают в программируемый логический контроллер (ПЛК). Он может управлять температурой, потоком воздуха и давлением. Поскольку мы не используем сервер управления процессом, данные с ПЛК поступают на управляющий компьютер, а также записывается в базу данных. Из этого интерфейса также можно непосредственно управлять работой ПЛК.
Один из ПЛК отправляет данные на внутренний MQTT-сервер с Moxa MGate 5105. Внутренний MQTT-сервер копирует данные на внешний write-only MQTT-сервер в облаке, защищённый паролем для предотвращения несанкционированного доступа.
Управляющий (слева) и полевой и интерфейсы с индикаторами температуры. В центре управления максимальная температура и сигнал тревоги находятся в верхнем левом углу, текущая температура — в правом верхнем углу. Справа внизу — две настройки клапана, а также давление и датчик включения/выключения вентилятора
О сети кампуса TM Steel Mill
Существует множество поставщиков базовых сетей и устройств 4G/5G. Однако фактическое развёртывание как правило производят лицензированные системные интеграторы. Помимо традиционных крупных игроков, таких как Nokia и Ericsson, на рынок выходят и крупные ИТ-компании.
Чтобы понять, как каждая служба взаимодействует друг с другом с максимальной прозрачностью, и чтобы мы могли изменять исходный код в наших экспериментах, нам необходимо было использовать опорную сеть с открытым исходным кодом. Для нашего исследования мы выбрали Open5GS, разработанный Сукчаном Ли и сообществом Open5GS. Причиной такого решения была поддержка стеков EPC и 5G, а также доступность исходного кода.
В качестве базовой станции 5G использовалась Gemtek WLTGFC (LTE Band 3). Чтобы не нарушать работу сотовой связи, которая предоставляется мобильными операторами, все радиомодули оборудования нашего тестового кампуса были изолированы в клетке Фарадея.
Архитектура Open5GS
Например, метка «S1-MM1/SCTP/36412» означает, что интерфейс S1-MME является 4G, передаваемым через SCTP-порт 36412.
Минимальная конфигурация сети кампуса TM Steel Mill, построенная для проведения исследования
Уязвимые места
Чтобы проникнуть в опорную сеть, злоумышленники должны найти цель, с которой они могут перехватывать трафик и производить различные действия. Мы определили точки входа злоумышленников для компрометации опорной сети.
Возможные точки компрометации сети кампуса
Как и в ИТ-системах, точками входа в сеть кампуса может быть один из серверов, на котором размещены сетевые службы, виртуальные машины или контейнеры с работающими внутри них сервисами, маршрутизатор или управляемый коммутатор, а также сами базовые станции.
Серверы служб опорной сети
Поскольку применяются стандартные серверы x86, злоумышленник может эксплуатировать хорошо изученные уязвимости операционной системы, в качестве которой обычно используется один из дистрибутивов Linux, а также уязвимости интерфейса управления конкретного производителя, механизма оркестровки и сетей операций, администрирования и управления (OAM). Особую опасность с точки зрения защиты от проникновения представляют уязвимости нулевого дня.
Как только злоумышленник получает привилегии root, он сможет перехватывать сетевые пакеты. Однако правильно настроенная виртуализация ввода/вывода с единым корнем (SR-IOV) и Data Plane Development Kit (DPDK) могут затруднить злоумышленникам перехват и изменение содержимого пакетов.
BM или контейнер
Виртуальные машины (ВМ) обычно хорошо защищены и в идеале открывают только необходимые порты. Ещё в идеальном мире ВМ или контейнеры регулярно подвергаются исправлениям, поэтому поверхность атаки для этой точки входа ограничивается службой, запущенной на ВМ, OAM и ключами SSH. Однако в реальности ВМ и контейнеры далеко не всегда содержат актуальные версии софта и ОС со всеми заплатками. Помимо этого, в контейнерах могут содержаться ошибки конфигурации, например, открытый VNC со слабыми паролями.
Сетевая инфраструктура
Управляемые маршрутизаторы, коммутаторы, брандмауэры или даже устройства кибербезопасности могут использоваться для перехвата пакетов с целью маршрутизации, аудита и блокировки распространения вредоносного ПО. Однако практика показывает, что про эти устройства часто забывают и даже оставляют без исправлений. В таком состоянии эти устройства могут быть использованы для проникновения в сеть компании.
Базовые станции
В этом исследовании мы не рассматривали сценарии атак на базовые станции. Это связано с тем, что базовые станции обычно поставляются с тремя или более частями микропрограммного обеспечения (основная операционная система, чипы связи и GPS) и очень оптимизированы для эффективности. Тем не менее, мы обнаружили несколько незначительных уязвимостей.
Хотя 5G требует использования HTTP2 и опционально TLS, а также сертификатов при обмене между сервисами, некоторые из проанализированных нами базовых сетей, особенно недорогие, всё ещё передают данные открытым текстом, либо используют самоподписанные сертификаты, что делает их сетевую инфраструктуру уязвимой.
Как выяснила Positive Technologies, сертификаты HTTP2 не проверяются во многих опорных сетях 5G, а атаки типа «человек посередине» (MitM) между базовыми станциями и опорной сетью возможны в большинстве протестированных ими сред.
Ещё одной проблемой, связанной с базовыми станциями, является тот факт, что любой критический патч потребует планирования времени простоя. Но поскольку доступность является наиболее важным фактором в среде ОТ, маловероятно, что исправления будут установлены своевременно.
Сценарии атак
В рамках исследования нам удалось провести множество различных атак, часть из которых мы опишем ниже. Более детальный рассказ можно прочитать в нашей публикации Attacks From 4G/5G Core Networks. Risks of the Industrial IoT in Compromised Campus Networks.
Перечислим описанные в документе сценарии атак:
сброс или модификация прошивки незащищённых ПЛК;
уязвимости удалённого рабочего стола RDP и VNC;
атаки с заменой SIM-карты;
атаки на «скрытые» APN;
злоупотребление системами аварийного оповещения;
атаки с помощью служебных SMS;
атака на отказ в обслуживании с помощью «испорченных« SMS;
атака с помощью поддельного GTP (протокола туннелирования для соединения различных сетей посредством IP-туннелей между устройствами и мобильной сетью);
эксплуатация уязвимостей в базовых станциях.
Перехват DNS
Когда мобильный телефон, LTE-модем или промышленный маршрутизатор 4G/5G регистрируется в сети, шлюз Packet Data Network Gateway (PGW)/Session Management Function (SMF) назначает два или более DNS-серверов, аналогично DHCP в локальной сети. Злоумышленник может назначить вредоносный DNS для пользовательского оборудования, перехватить легитимный ответ DNS и заменить его вредоносным IP-адресом или просто изменить записи на взломанном DNS-сервере. После этого устройство жертвы становится восприимчивым к загрузке встроенного программного обеспечения, обновлений по воздуху (OTA) или любых других данных или параметров с серверов, контролируемых злоумышленником.
Злоумышленник может воспользоваться доступом к шлюзу сети передачи данных общего пользования, который назначает DNS для пользовательских устройств, либо доступом к маршрутизатору. Существует два способа перехвата DNS-запросов:
установить DNS-сервер, подконтрольный злоумышленникам и изменить записи DNS;
скомпрометировать кэширующий сервер DNS, который обычно также находится на внутри кампусной сети.
В любом случае злоумышленник изменяет запись в кэширующем сервере DNS в основной сети, чтобы перенаправить IP внутренних ресурсов на плацдарм злоумышленников и перехватить трафик в следующих атаках.
Изменённые злоумышленниками настройки DNS
Злоумышленник, если у нет доступа к серверу кэша DNS или если DNS не пересылается локальным сервером, может использовать манипулирование пакетами, чтобы изменить содержимое пакета на лету.
На нашем вымышленном предприятии используется внутренний DNS-сервер для сети OT. Это означает, что у злоумышленника есть более одного способа перехватить пакеты в следующих атаках, например, путём изменения DNS и перенаправления незашифрованного трафика.
Такая атака может быть легко предотвращена, если есть сетевой монитор или регистратор данных/деталей событий, который ведёт запись метаданных сетевого соединения. При возникновении нестандартного трафика может быть немедленно подан сигнал тревоги. Также рекомендуется выбирать промышленные протоколы, поддерживающие привязку сертификатов. Использование SSL/TLS без отключения основных функций безопасности (таких как проверка корневого центра сертификации) позволяет легко обнаружить соединения, вызванные поддельными записями DNS. Для предотвращения перехвата DNS-запросов можно использовать расширения безопасности системы доменных имён (DNSSEC) или DNS over HTTPS (DoH), однако они редко поддерживаются в промышленных сетях.
Перехват MQTT
В некоторых современных сетях промышленного управления показания датчиков отправляются в облако по протоколу MQTT в качестве резервной копии или для аналитического использования. MQTT может быть защищён SSL/TLS (MQTTS). Для достижения максимальной безопасности MQTTS защищён паролем, а сервер и клиент — пиннингом с помощью предварительного обмена сертификатами. Однако в полевых условиях эти средства защиты обычно отсутствуют. После изменения телеметрии или сообщений, отправляемых в облако или на внутренние серверы, алгоритмы анализа и статистика могут быть нарушены. Злоумышленник также может перехватить данные MQTT, чтобы временно скрыть то, что было сделано на удалённых объектах.
У злоумышленника при этом имеется несколько точек перехвата:
SGi (LTE)/N6 (5G), в особенности, маршрутизатор между основной сетью и интернетом — можно провести MitM-атаку на TCP/1833 (MQTT) или TCP/8833 (MQTTS, если сертификаты не проверены или не используются);
S1-U (LTE)/N3 (5G) между базовыми станциями и опорной сетью, если не используется IPsec/VPN;
S5/8 (LTE) между SGW и PGW.
Как видно из дампа пакетов, имя пользователя «lte» и пароль «open5gs» передаются в открытом виде, если используется MQTT вместо MQTTS
На нашем сталелитейном заводе эта уязвимость была использована таким образом: сообщения MQTT для показаний датчиков температуры воздушного потока перехватывались и изменялись, чтобы оставаться в пределах нормального диапазона. В то же время злоумышленник изменял внутреннюю температуру, в результате чего фактический выходной ветер увеличивался с 29 до 50, но во внешних журналах аудита всё выглядело нормально.
Для устранения этой проблемы можно использовать MQTTS вместо менее безопасного MQTT и защитить MQTTS с помощью надёжных паролей и привязки сертификатов.
Атаки на TM Steel Mill: выводы
Одним из наиболее эффективных способов смягчения атак является использование шифрования на уровне приложений, например, HTTPS, MQTTS, LDAPS или любого хорошо разработанного промышленного протокола, такого как S7Comm-Plus. Второй действенный способ защититься — сегментирование сети с помощью VLAN и IPsec.
Однако даже при наличии этих средств защиты необходимо оперативно устанавливать последние исправления для операционных систем, сетей OAM, маршрутизаторов и базовых станций сразу, иначе сети кампуса всё равно будут открыты для угроз.
Атаки пятого поколения на компьютерные сети
 |
Компания CheckPoint провела исследования атак пятого поколения на компьютерные сети и обнаружила новый вирус, блокирующий компьютеры пользователей и удаляющий личные файлы.
Компания CheckPoint на основании проведенного ей специального исследования рынка вывела решение, что информационная безопасность в компьютерных сетях находится на нулевом уровне, огромное количество организаций, работающих в разных сферах рынка, не могут в силу своей технической и программной обеспеченности отразить последние атаки «пятого поколения» вредоносных программ и обеспечить защиту.
Стоит отметить, под такими атаками (их принято называть «атаки поколения Gen V»), принято понимать крупномасштабные угрозы, которые можно стремительно наблюдать в различных сферах бизнеса. В частности, это в подавляющем количестве именно атаки на мобильные устройства, а также популярные в последнее время облака и компьютерные сети на предприятиях.
Соответствующей опасностью, которая как раз и выделяет данный тип атак среди всех прочих, является способность вирусов обходить все стандартные механизмы защиты. В основном, такие средства защиты нацелены на обнаружение некоторых угроз, направленных против пользователя.
Организация, проводившая исследование, опубликовала в 2018 году отчет, который был предварительно подготовлен на основании данных, полученных от руководителей в сегменте IT. В расчет взяли государственные предприятия, промышленные компании и фирмы, которые занимаются охраной здоровья людей, обучением персонала.
Согласно полученной информации стало ясно, что количество атак на такие компьютеры стремительно возрастает с каждым годом, а устройства постоянно находятся в рамках небезопасного для себя положения.
Помимо этого, было определено порядка 300 различных компьютерных приложений, которые при распространении именно безопасных для себя продуктов в сети, имеют в собственном коде вредоносные программные компоненты, которые обязательно нужно учитывать во время работы приложения.
Александр Питер, будучи маркетинг-директором компании CheckPoint установил, что кибератаки именно этого, пятого поколения вирусов и компонентов сегодня наиболее распространены. С этим мнением согласилось и 77% всех опрошенных специалистов и директоров, работающих в этой отрасли.
В частности, была также выражена озабоченность тем фактом, что многие компании просто не имеют даже самых простых механизмов защиты против такого воздействия, а это приведет в будущем к взлому программных компонентов и хищению данных.
В большинстве случаев, эта ситуация связана исключительно с устаревшими методами защиты, которые к тому же, регулярно не проверяются и не обновляются, что еще больше способствует ситуации с хищением данных.
В рамках проводимого исследования было установлено, что защита подавляющего количества предприятий существенным образом отстает от принятых мировых стандартов как минимум на 10 лет, а также примерно на два поколения от используемых сегодня сетей и ряда технологических решений. Именно по этой причине, технологии, используемые в программных продуктах «Пятого поколения» зачастую и оказываются настолько губительными для систем безопасности.
Эксперты также отметили тот факт, что согласно информации, размещенной в отчете относительно исследования, проведенного в 2018 году, подвержены существенным рискам все организации, вне зависимости от сферы деятельности. Это 97% компаний, начиная от медицинской сферы деятельности и заканчивая отраслью государственных интересов. Именно такие организации не обладают всем необходимым инструментарием противодействия программам мошенников и нуждаются в модернизации своего оборудования и сетей.
Также эксперты смогли обнаружить и новый вирус-блокировщик. Этот программный продукт попадает на компьютер, после чего блокирует все данные, выводит на экран изображение Иосифа Сталина и устанавливает время отсчета равное 10 минутам.
Все это время параллельно играется гимн СССР и нужно ввести код для разблокировки, который генерируется из даты образования государства. Если код будет введен некорректно, вирус самостоятельно начинает удалять всю информацию, хранящуюся на компьютере, вне зависимости от того, на каком она находится диске.
Что примечательно, данный вирус приостанавливает на компьютере фактически все процессы, оставляя нетронутыми только скайп, но его невозможно использовать, так, как на главном экране уже имеется другое изображение, его просто нельзя переключить. Все это создаст ряд опасностей для потенциального пользователя.
На сегодняшний день лучшие решения в области безопасности представлены на сайте компании Софтлист.
Transcend StoreJet 25A3 TS1TSJ25A3K
Transcend JetFlash 790 16GB
A-Data Ultimate SU650 120GB
Взлом из облака
Почему такие атаки стали возможными, в чем их особая опасность и есть ли способы защититься, «Российской газете» рассказал президент российской секции Международной полицейской ассоциации генерал-лейтенант, доктор юридических наук, профессор, заслуженный юрист России Юрий Жданов.
Насколько велик масштаб новых угроз, в том числе кибератак?
Атака стала возможной в результате взлома программного обеспечения, производимого компанией SolarWinds.
До нападения оно считалось сверхнадежным и суперзащищенным. Именно поэтому его используют большинство крупнейших мировых компаний, таких, к примеру, как Visa, Apple, Nike, а также госучреждения высочайшего ранга.
Теперь многие из клиентов SolarWinds оказались в числе пострадавших. Последствия этого взлома, который уже назвали кибератакой пятого поколения, равно как и ущерб, пока подсчитываются.
Но уже сейчас большинство экспертов приходят к солидарному выводу: это лишь начало. Речь идет о качественно новом витке киберпреступлений. И сегодня никто не застрахован от того, чтобы стать жертвой такого нападения.
Получается, речь теперь идет о хакерских инструментах, так сказать, оружейного уровня?
Юрий Жданов: Да, и эти инструменты позволяют быстро заражать большое количество предприятий и организаций в огромных географических регионах.
Крупномасштабные многовекторные мегаатаки с явными характеристиками киберпандемии, при которых вредоносная активность распространяется внутри организации за секунды, вызвали потребность в интегрированных и унифицированных структурах безопасности.
Большинство предприятий по-прежнему работают в сфере безопасности второго или третьего поколения, которая защищает только от вирусов, атак приложений и доставки полезной нагрузки.
Сети, виртуализированные центры обработки данных, облачные среды и мобильные устройства остаются незащищенными.
Кибератаки пятого поколения уже происходили?
Это предоставило удаленный доступ к нескольким известным организациям, что сделало его одной из самых успешных атак на цепочку цифровых поставок, когда-либо наблюдавшихся.
Известно, что в США в этой атаке обвинили Россию?
Напомню, в начале января агентство по кибербезопасности и инфраструктурной безопасности США (CISA) опубликовало совместное заявление ФБР и ряда других американских спецслужб, что за масштабной кибератакой на клиентов фирмы по компьютерной безопасности SolarWinds, вероятно, стоит Россия.
Целью атаки, которой подверглись в том числе правительственные учреждения США, являлось, как предположили в Вашингтоне, получение разведданных.
Однако впоследствии было заявлено, что доступ к информации чувствительного характера организаторы нападения не получили.
Американцы утверждают, что за атакой стоит хакерская группа APT29, также известна как Cozy Bear, которая якобы работает на Службу внешней разведки РФ.
И, как обычно, не было предъявлено ни одного доказательства. Все на уровне «видимо», «скорее всего», «возможно», «вероятно».
Как отреагировала Россия?
Кстати, это подчеркивают в своих выводах аналитики Всемирного экономического форума. Они прямо указывают, что киберриски продолжают оставаться в числе глобальных рисков.
Как и любую другую стратегическую социальную проблему, кибербезопасность нельзя решать изолированно. И эту проблему, видимо, мировые лидеры должны рассмотреть и решить в 2021 году.
То есть цифровизация, как ни странно, не осчастливила человечество?
Юрий Жданов: С одной стороны, цифровизация оказывает все большее влияние на все аспекты нашей жизни и на все отрасли. Мы наблюдаем быстрое внедрение инструментов машинного обучения и искусственного интеллекта, а также растущую зависимость от программного обеспечения, оборудования и облачной инфраструктуры.
Жизненно важные процессы, такие как доставка вакцин, в ближайшие месяцы также могут оказаться под угрозой.
Что чаще всего атакуют хакеры?
Кто следующий в этом списке?
Юрий Жданов: Затем идут платформы удаленного доступа, в том числе и дистанционного электронного обучения. За год этот сектор испытал 30-процентный рост еженедельных кибератак.
С чем это связано?
Юрий Жданов: Преступники прекрасно понимают, что бум удаленной работы, начавшийся с пандемии, для многих продолжится. Концентрация нескольких поставщиков технологий по всему миру обеспечивает множество точек входа для киберпреступников по всей цепочке цифровых поставок.
Организации работают в экосистеме, которая, вероятно, более обширна и менее определенна, чем многие могут представить. Ожидается, что подключенные устройства достигнут 27 миллиардов к 2021 году во всем мире. Представляете, какое поле действий?
И все же почему киберпреступность столь успешна? Из-за безнаказанности?
Так, вероятность обнаружения и судебного преследования киберпреступников в США оценивается как всего 0,05 процента. Во многих других странах этот процент еще ниже.
Даже если не скрывать преступную деятельность с помощью таких методов, как тактика даркнета, порой очень сложно доказать, что конкретный субъект совершил определенные действия.