Статья Offensive OSINT часть 4 - сбор разведывательных данных по важнейшим объектам инфраструктуры в Юго-Восточной Азии

Данная статья является переводом. Оригинал вот


Это вторая часть моего расследования критической инфраструктуры по всему миру. Эта статья должна была стать презентацией на конференции ICS в Сингапуре, однако, благодаря коронавирусу это будет виртуальное мероприятие. Я не заинтересован в участии, и я остался с хорошим материалом, поэтому решил сделать об этом краткий пост в блоге.

Вы все еще можете прочитать мое первое исследование ICS "Intelligence Gathering on U.S. Critical Infrastructure" на сайте конференции.


Если вы пропустили последний эпизод о том, как искать дезинформацию в социальных сетях, вы можете найти ее здесь



OSINT и промышленные системы управления


Со времени последних исследований, я узнал много нового об устройствах промышленных систем управления, их типах или поставщиках, а также об общем подходе к такого рода исследованиям. Прямо сейчас последняя статья выглядела бы совершенно иначе из-за изменений в Kamerka. Обновление делает все проще, оно включает в себя множество новых функций, таких как GUI, Google Maps, WHOIS XML и BinaryEdge или более 100 устройств на выбор. Это просто превосходный разведывательный инструмент ICS / IoT, красиво представленный и предназначенный для использования аналитиками разведки.

Для большинства людей, которые использовали Kamerka, это просто еще один инструмент, который может найти интересные устройства в Shodan, но для исследователей, специализирующихся на мониторинге открытых устройств, это кладезь информации. Когда критическая инфраструктура становится игрой, все кажется интересным, ни одно устройство в секторе критической инфраструктуры не должно быть обращено к Интернету ни при каких обстоятельствах. Основная цель этого исследования - найти любое устройство или панель управления, подключенные непосредственно к Интернету, которые считаются критически важной инфраструктурой.

Министерство внутренней безопасности США разработало специальное руководство в отношении критически важной инфраструктуры во время вспышки Коронавируса.


1590758151230.png



Существует множество секторов, которые должны работать непрерывно и требовать дополнительных мер безопасности. Я написал больше о каждом секторе в первой части, и вы можете познакомиться с ней.

В настоящее время наиболее важным сектором является общественное здравоохранение. Для его изучения необходим более точный подход, чем обычное сканирование устройств ICS/SCADA. Вы можете прочитать мое исследование - как найти незащищенные медицинские устройства / услуги и узнать об отрасли здравоохранения.


В настоящее время вы можете встретить сотни тысяч общедоступных устройств SCADA от разных производителей и различных моделей. Так как же найти только те, которые работают в упомянутых 16 секторах критической инфраструктуры?


OSINT и критическая инфраструктура

Во-первых, давайте ответим на вопрос, почему и кто атакует критически важные службы, необходимые для работы муниципалитета и страны в целом. По-прежнему наиболее опасными являются APT и их оружие - самый известный Stuxnet или Triton. Я помещаю инсайдеров также в группу угроз из-за их знаний. Если они не имеют прямого доступа или не знают пароля, они могут быть полезны, когда нужно сопоставить сеть или компоненты.

1590758266091.png

Кто атакует промышленные системы управления?

Преступные группы не часто атакуют на устройства промышленной отрасли, однако, в последнее время это начинает становиться реальностью. Описанный Dragos вымогатель, получивший название «Ekans», показал некоторые признаки, которые могут указывать на интерес к устройствам ICS.

EKANS Ransomware и ICS Операции


Последней группой, которая может представлять угрозу, являются террористы, в нее также входят различные формы хактивизма. Я еще не слышал ни о каком подобном случае, но в будущем это может стать большой проблемой. Из-за множества разоблаченных устройств и простоты получения доступа, кто-то может вызвать сбой, что в таком случае является угрозой для национальной безопасности. Это также показывает силу противника, может ослабить экономику и нанести ущерб общественной морали.

Мы уже знаем, кто может стать мишенью ICS, поэтому сейчас мы должны подумать, какой субъект информационной угрозы может собрать во время разведки. Это идеальный момент, чтобы напомнить о MITRE ATTACK для ICS, он описывает каждый шаг атаки на устройства SCADA/ICS.



Моя презентация посвящена первому шагу - "Начальный доступ", и состоит из различных способов и методов получения информации, которая поддерживают всю цепочку кибератак.
  • Использование публичного приложения: .
  • Внешние удаленные службы:
  • Спирфинговое приложение: .
  • Устройство, доступное в Интернет:

Стоит отметить, что одна из групп, связанных с Industroyer, используя уязвимое устройство.

Участники воспользовались уязвимостями в Cimplicity HMI GE и программном обеспечении Advantech / Broadwin WebAccess HMI , который был непосредственно подключен к Интернету.

Чтобы защищаться от любой группы, я предпочитаю агрессивный подход и нахожу, как можно больше слабых точек входа. Это действительно сложная задача, поскольку наше поле битвы - это целая страна, и каждое уязвимое устройство принадлежащее ей.

Я выделяю три наиболее важные категории для устройств ICS с точки зрения OSINT.

1590758429024.png

Какую информацию может получить злоумышленник?

От самого устройства злоумышленник может получить огромное количество информации, такой как: поставщик, модель, уязвимости, а также обо всей машине - о разных портах или слабых местах. Панель входа или WHOIS может раскрыть информацию о фактическом местоположении устройства или здания, в котором оно расположено. С этого момента мы можем перейти к исследованию физической безопасности, основываясь на картах Google, фотографиях в социальных сетях или просмотрах истории спутников из @planetlabs. Я также сделал конкретный пример попытки фишинга исключительно для конференции ICS.


KAMERKA и Юго-Восточная Азия

Все вы, возможно, уже знакомы с инструментом Kamerka, если кратко - это платформа для сбора информации об устройствах ICS, IIoT и IoT на основе координат или по всей стране. Исследования конференции также были основаны на Kamerka, я использовал ее, чтобы собрать все необходимые данные, создать графики и визуализировать их на карте. Если вы не знакомы с этим инструментом, вы можете прочитать о нем здесь.


Прежде чем перейти к конкретным критическим находкам по инфраструктуре, давайте посмотрим на статистику об открытых устройствах в регионе Юго-Восточной Азии. На Kamerka у нас есть общая панель инструментов, которая представлена ниже.

1590758728890.png

Панель инструментов Kamerka для Юго-Восточной Азии

Он также поддерживает карту для каждого поиска на всех устройствах. На карте представлены устройства в Юго-Восточной Азии.

1590758741631.png

Карта Системы Промышленного Контроля для Юго-Восточной Азии

Кроме того, во время исследования были перемещенны 3 системы SAILOR 900 VSAT, и корабли были расположены в Персидском заливе, Оманском заливе и один стоял в порту в Шардже, Объединенные Арабские Эмираты. Чтобы найти системы VSAT, Kamerka не собирает геолокации IP, а берет точные координаты из открытой панели управления VSAT и помещает ее в карту.

1590758797703.png

Корабль, припаркованный в Шардже (ОАЭ)

Я взял 10 крупнейших стран в Юго-Восточной Азии и обнаружил 3083 незащищенных устройства промышленной системы управления. На диаграмме ниже представлены отношения между странами и количеством устройств.

1590758854170.png



Я пропустил Тимор-Лешти и Лаоса из-за полного отсутствия устройств. Сингапур расположен на первом месте, но я встречал много honeypot'ов.

Следующая диаграмма показывает процент типов и поставщиков, используемых в ICS в Юго-Восточной Азии.

1590758917641.png



BACnet является самым популярным и работает почти на 1/4 всех устройств. Windweb (третье место) используется многими встроенными системами, такими же, как VxWorks. В этом регионе подвержены 82 системы безопасности Bosch, которые уязвимы для RCE. Полный список запросов и устройств на Kamerka доступен здесь.


Наиболее используемые порты ICS

1590758955981.png



Разные устройства Lantronix прослушивают на 161 порту, но это также на графике из-за Сингапурских honeypot'ов. Один из примеров такого honeypot олицетворяет устройство Simatic на порту 161.


Статистика необходима, если кто-то задумывается о развитии эксплуатации в целях массовой использования в конкретной стране. Если одна страна нацелена на Индонезию, где Crestron является наиболее распространенным устройством, разумно будет приложить максимум усилий и денег для поиска уязвимостей в этом конкретном устройстве/поставщике.

Взяв карту, статистику и информацию о каждом хосте, мы можем начать копать. На самом деле, с такой необьятной точкой зрения можно получить много интересных данных.

Некоторые устройства могут фактически работать в критической инфраструктуре, но с точки зрения OSINT ничто не указывает на такой вывод: нет точной информации WHOIS, нет имени хоста или отсутствует какой-либо индикатор в панели входа в систему.

1590759233100.png


С другой стороны, многие панели содержат информацию, полезную для определения местоположения устройства, во многих случаях это имя объекта или физический адрес.

1590759242283.png


Первая станция принадлежит университету Sains Islan в Малайзии и вторая - торговому центру Mega Bagna в Таиланде.

И есть третий тип уязвимого устройства, придосталяющая доступ к информации, и которая не должна быть раскрыта. Много устройств стоят за аутентификацией и позволяют только считывать данные, но это поток информации с точки зрения получения внутренних знаний о потенциальной цели - организации или помещения. Чтобы получить полный доступ, ничто не остановит злоумышленников от использования существующих уязвимостей или попыток взлома пароля.

1590759315674.png



Вышеуказанная панель управления отвечает за работу в аптеке в Малайзии и раскрывает информацию об отоплении, вентиляции, кондиционировании, охлаждении (HVACR) и системе управления зданием (BMS) в целом.

Другим примером может служить Wiser для KNX (homeLYnk), которая представляет собой персонализированное решение для домашней автоматизации, предлагающее комплексную систему, основанную на открытых протоколах, таких как KNX, Modbus, BACnet и IP. Она зарегистрирована на фармацевтическую компанию в Индонезии - Novo Nordisk.

1590759361789.png


Я мог бы привести много подобных примеров, но мы здесь для того, чтобы поймать крупную рыбу и найти устройство в критической инфраструктуре, которые могут нанести непоправимый ущерб обществу.


KAMERKA И КРИТИЧЕСКАЯ ИНФРАСТРУКТУРА В ЮГО-ВОСТОЧНОЙ АЗИИ

Ни одно устройство не было взломано.

Не было причинено никаких повреждений.

Результаты были отправлены.


Поэтому сейчас мы ищем все, что может работать в одном из 16 секторов, упомянутых ранее. Это может быть устройство на электростанции, станции очистки сточных вод, больнице, лаборатории или исследовательском центре. Это огромная сфера с множеством творческих возможностей для получения информации и поиска потенциальной точки входа или целевого персонала.

Индикатор на панелях входа в систему, показанный выше, является лишь одним из примеров возможного устройства геолокации и его построения. Kamerka извлекает эти показатели из:
  • Niagara Fox - название станции,
  • NMEA - точные координаты,
  • Корабли - точные координаты,
  • Танки - физический адрес,
  • BACnet - название проектов

Вы можете найти дополнительные индикаторы в имени хоста, сертификатах, пользователях, адресах электронной почты, информации WHOIS или в самом устройстве.


Водопроводные сооружения Choa Chu Kang (Чоа Чу Канг)

Первая часть исследования «Сбор информации о критической инфраструктуре в США» в основном базировалась на открытых станциях Niagara Fox. Первое обнаружение показывает, о чем предупреждает ФБР - порт 1911 и его раскрытие информации.


Kamerka нашла 3 IP-адреса в Сингапуре с незащищенным портом 1911 и «CCKWWSolar» в названии их станции.

1590759490491.png



Я узнал много нового о различных инфраструктурах в Азии благодаря расшифровке многих аббревиатур и поиску их значений, которые для меня до этого были неизвестны. Оказалось, что CCKWW означает Choa Chu Kang WaterWorks, звучит достаточно интересно, поэтому я решил исследовать это подробнее. Первое, что нужно сделать, это определить местонахождение объекта. Kamerka помогает в этом: переключитесь на вкладку Locate и впишите объект в поисковой форме Google maps, нажмите зеленую кнопку, чтобы нарисовать маршрут, получите координаты и введите их в поле "Обновить местоположение".

1590759544366.png



Затем нажмите на синюю кнопку. После этого некоторые вкладки станут зелеными, что означает, что устройство было найдено. Вы можете посмотреть поближе, увеличив масштаб и переключившись на вид со спутника.

1590759727609.png



Всегда следует полагаться и на ручные исследования, находя любую возможную информацию и фотографию об объекте. Это может быть связано с финансированием, членами правления, планами зданий или фотографиями, на которых изображена внутренняя инфраструктура, например, комнаты или серверы.

На спутниковых фотографиях видны многие солнечные батареи, а три IP-адреса, связанные с солнечной инфраструктурой, напрямую доступны через Интернет.

Статья на straitstimes.com указывает на установку более чем 3300 солнечных панелей в водопроводной станции Choa Chu Kang состоянием на 25 июня 2015.


Чтобы увидеть, где были добавлены солнечные панели, и как был восстановлен объект, мы можем использовать спутниковые снимки планетарной лаборатории. Ниже приведено сравнение, показывающее изменения с 2015 года.

Мы можем четко увидеть, где были установлены солнечные панели, и что злоумышленник может поставить под угрозу.

1590759666062.png






Royal Irrigation Department - Lat Pho Canal (Королевский ирригационный департамент - Лат Фо Канал)

1590759774768.png

mySCADA предлагает интеллектуальные визуализации, которые помогают контролировать и оптимизировать производство. mySCADA дает возможность управлять из любого места и в любое время.

По умолчанию Niagara Fox раскрывает много информации, но в основном это касается устройства, то есть модели, поставщика, операционной системы или версии виртуальной машины. Панели продукта mySCADA отображают больше, чем обязаны, если не настроены должным образом. Пользователи, не прошедшие аутентификацию, могут взглянуть на информацию обо всей инфраструктуре, используемой приложением. Одним из примеров может служить Lat Pho Canal, управляемый Королевским департаментом ирригации в Таиланде.

1590759811115.png



Как видите, приложение mySCADA поддерживает плотины на одной из рек Таиланда, раскрывая при этом много интересной информации. Во-первых, у нас есть графический интерфейс, включающий изображение плотин, данные и графики.

1590759838570.png



Он также предоставляет доступ к каждой плотине и возможность управления для аутентифицированных пользователей. Для людей, знающих архитектуру конкретной инфраструктуры и операционное программное обеспечение, легко взять на себя полное управление и причинить ущерб или собрать шпионскую информацию, такую как состояние устройства или аварийные сигналы.

1590759862394.png



Как всегда, ручное исследование необходимо для того чтобы подтвердить расположение места, собрать больше деталей и оценить потенциальный ущерб, который может быть нанесен обществу.

1590759873905.png




Описание подходит для изображения плотин из приложения mySCADA, и теперь мы также знаем больше об использовании инфраструктуры. Наверняка это считается критически важной инфраструктурой и может использоваться для выработки электроэнергии. Следующим шагом в кибератаке будет сбор как можно большего количества информации о персонале. В верхнем левом углу приложения mySCADA находится логотип Королевского ирригационного департамента.

1590759879235.png




На официальном правительственном веб-сайте мы можем узнать, что руководители все еще используют домены Yahoo и Hotmail для управления. Проверка дампов паролей для этих конкретных писем и использование их для «повышения привилегий» звучит как первое, что приходит в голову злоумышленнику.

Мы не забываем обновить местоположение в Kamerka и проверить, как оно выглядит в Google Images / Maps.

1590759910654.png
1590759921200.png



Электростанция
Paiton Power Station - PT. Jawa Power

Эти находки не сложны, но я изложил их здесь, потому что это самая большая энергетическая электростанция с открытыми устройствами, которые я нашел.

1590759956166.png

Обширный комплекс имеет максимальную генерирующую мощность 4710 мегаватт. Это самая большая электростанция в Индонезии и 10-я по величине угольная электростанция в мире.

Это HTML-сайт с встроенным JAR-файлом, возможно, для удаленного подключения, но он не был доступен во время исследования.

Кроме того, еще один открытый порт на этой же машине показывает устройство Solar-Log 1200.

1590759983588.png


1590759987478.png



Он дает внутренний взгляд на статистику, финансы, используемую прошивку или детали инвертора.

Нам необходимо обновить местоположение на Kamerka.

Ниже на фотографии представлено абсолютно точное место, где была сделана фотография с сайта. Это было перед первым синим зданием, на заднем плане - два небольших блока и одна большая дымоходная труба.

1590761280353.png



Система очистки воды - Võ Cạnh

1590760049072.png

Портал Atvise® обеспечивает безопасный доступ к децентрализованным распределенным установкам и процессам через Интернет (частное облако).

Водный сектор является еще одним в критической инфраструктуре и отвечает за фильтрацию и улучшение воды. На следующем этапе он распространяется для питьевого, ирригационного или промышленного водоснабжения. Нет сомнений в том, что нарушение процесса такой установки приведет к приостановке его эксплуатации и снабжения.

В этом случае портал Atvise не был должным образом защищен и дает доступ к каждой насосной станции, зонам обработки, блокам или хранилищам химикатов.

1590760556694.png



Определенно слишком много информации раскрыто, злоумышленник может получить представление о процессах, системах или устройствах, используемых на предприятии.

Владельцем инфраструктуры является Khawassco, которая работает во Вьетнаме и предоставляет следующие услуги:


  • Производить и поставлять чистую воду.
  • Обследование, проектирование очаговых работ и системы водоснабжения и водоотведения.
  • Строительство и монтаж очаговых работ и дренажной сети.
  • Консультирование, проверка проекта сети и работ водопроводной и дренажной насосной станции
  • Управление и развитие городской дренажной системы Нячанга.
  • Настройка инвестиционных проектов водопроводных и дренажных работ.
  • Сбор резервуаров (септиков) для домашних хозяйств.
  • Надзор за строительством водопроводно-канализационных работ класса 2.
  • Тестирование счетчиков воды от 15мм - 50мм.

С их официального сайта мы можем подтвердить, что система очистки воды в Вых Кун принадлежит им.

1590760236414.png




В Интернете не так много информации об этом заводе, я нашел одну фотографию с 2016 года и соответствующую статью


1590760261062.png



UEM Edgenta Berhad - Менара UEM Tower

1590760291424.png

Интуитивный контроллер TDB может использоваться в различных приложениях, например, HVAC, BMS, охлаждении, освещении и энергопотреблении, для обеспечения мониторинга и / или управления.

Обычно можно найти открытые рабочие станции умного дома или здания, но я впервые обнаружил, что здание такого размера. Любой может получить доступ к разнообразной информации о строительстве - энергии, отоплении, вентиляторах или освещении. Включает в себя потребление данных в реальном времени, статистику, графики или наиболее интересные финансы и бюджет.

1590760481084.png



Приложение также раскрывает детали каждого устройства и план каждого этажа. Оно очень полезно в случае физического проникновения.

1590760506571.png



Здание принадлежит группе UEM и расположено в Куала-Лумпуре, Малайзия.

1590760710003.png


На скриншоте видно, что здание имеет 17 этажей. Мы можем получить фотографию и сравнить ее с реальным видом.


Национальная лаборатория технологии преобразования энергии


1590761172019.png

B2TKE-BPPT (Balai Besar Teknologi Konversi Energi) стремится играть важную роль в содействии росту энергетической промышленности и внедрению эффективных, надежных и экологически чистых энергетических технологий для решения национальных энергетических проблем.


Один из серверов, принадлежащий B2TKE, выставляет панель управления для Smart Microgrid, поддерживающую большой регион - 15 зданий, зарядные станции и многое другое. По умолчанию отображается карта и детали о потреблении энергии или активной мощности. Существует множество различных сохраненных представлений, которые полезны для сбора сведений о компании и физических устройствах - их местонахождении и использовании. Кроме того, в нем раскрываются подробные сведения об использовании энергии в реальном времени, а также сведения о многих устройствах, связанных с инфраструктурой.

1590760839076.png



Если этого недостаточно, он раскрывает внутреннюю сетевую инфраструктуру, которая как святой Грааль в мире разведки.

1590760846658.png


Он содержит схему, типы устройств и внутренние IP-адреса. Имея эту информацию, можно свободно перемещаться по сети BPTT. Есть пара устройств, которые явно используются в солнечной технологии, но диаграмма показывает также адреса виртуальных частных сетей или камер видеонаблюдения.

Я начал копать глубже и сделал карту с открытой панели.

1590760862951.png



в Google Maps

1590760871632.png



Здания, которые являются частью инфраструктуры и экспонируются в микросети, относятся к:
  • Биотехнологиям
  • Научно-исследовательские институты
  • Государственные учреждения
  • Зарядные станции
  • Электрическая подстанция

На мой взгляд, самым хрупким объектом является электрическая подстанция, расположенная в правой части скриншота карт Google.

1590760931836.png



Выход на поле

Для достижения полной кибер-физической безопасности необходимо учитывать множество факторов. Чтобы проверить это, нам не нужно выходить на улицу, все может быть сделано перед компьютером, например, сканирование, разведка или попытки фишинга. Red teams используют разные тактики для проверки физической безопасности зданий, я никогда не слышал о какой-либо возможной физической красной команде для критически важной инфраструктуры, однако я хочу сказать, что вы должны выйти, чтобы проверить фактическое здание.

Для этого я создал Kamerka Mobile, который работает на Android и использует Pastebin в качестве хранилища данных. Вы можете отправить координаты и дополнительную информацию из веб-версии Kamerka и получить к ней доступ на своем мобильном телефоне.

1590761038760.png



Если вам нравится идея мобильного приложения, вы можете прочитать о нем подробнее в этой статье.


Я представил только 5 результатов из Сингапура, Таиланда, Вьетнама, Малайзии и Индонезии в качестве примера того, что любая инфраструктура может столкнуться с Интернетом, и раскрывает множество информации, которую ищет злоумышленник. Любая раскрытая информация приближает злоумышленника к компрометации системы или злоупотреблению полученной информацией. Так что же могут сделать организации, чтобы защитить себя?

1590761344934.png

Как защитить ICS


Вывод

Я твердо убежден, что подобный подход должен использоваться каждой страной и уполномоченным кибер-субъектом для информирования владельцев о потенциально опасных открытых устройствах в их собственном киберпространстве, а также для обеспечения наступательных возможностей на вражеской территории. Kamerka дает вам возможность быстро получить информацию о промышленной системе управления и углубиться в собственное исследование, чтобы поддержать целую цепочку кибератак.

Исследования, связанные с критической инфраструктурой, - это лучшее, на что способен аналитик по вопросам безопасности и военным вопросам. Они включают в себя практически любую область OSINT, которую вы можете себе представить - технические исследования, человеческий интеллект, GEOINT и многое другое, зависит от ваших творческих способностей и навыков сбора разведывательных данных.
 

c0mstr3am

New member
02.06.2020
1
0
BIT
0
Отличная статья, спасибо.
При установке и запуске Kamerka были ошибки с Celery?
 

Salivan

Green Team
24.06.2019
44
13
BIT
0
Да по сети может поглядеть и можно на картинки красивые, только в реальности, сунешься туда и пристрелят как собаку, если речь о том, что бы по сети совершать плохие поступки, ну найдут и так же пристрелят как собаку, у них тоже есть головастые и они ни чем не хуже других головастых. Ну и последнее, если уже речь о государственных разных органах, уважаемый ТС, вы думаете они этой инфы не видели? Вопрос, на кого расчитана инфа, на дурачков наивных, которые полезут и их хлопнут или на тек кто в курсе и ничего нового для них в этом нет.
 

g00db0y

Red Team
11.06.2018
139
692
BIT
1
Да по сети может поглядеть и можно на картинки красивые, только в реальности, сунешься туда и пристрелят как собаку, если речь о том, что бы по сети совершать плохие поступки, ну найдут и так же пристрелят как собаку, у них тоже есть головастые и они ни чем не хуже других головастых. Ну и последнее, если уже речь о государственных разных органах, уважаемый ТС, вы думаете они этой инфы не видели? Вопрос, на кого расчитана инфа, на дурачков наивных, которые полезут и их хлопнут или на тек кто в курсе и ничего нового для них в этом нет.
Я не являюсь автором статьи, я её лишь перевел. Но могу предположить, что автор хотел показать насколько такие системы не защищены, и нужно наоборот им помогать.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!