Это вторая часть моего расследования критической инфраструктуры по всему миру. Эта статья должна была стать презентацией на конференции ICS в Сингапуре, однако, благодаря коронавирусу это будет виртуальное мероприятие. Я не заинтересован в участии, и я остался с хорошим материалом, поэтому решил сделать об этом краткий пост в блоге.
Вы все еще можете прочитать мое первое исследование ICS "Intelligence Gathering on U.S. Critical Infrastructure" на сайте конференции.
Ссылка скрыта от гостей
Если вы пропустили последний эпизод о том, как искать дезинформацию в социальных сетях, вы можете найти ее здесь
Offensive OSINT часть 3 - Ищем дезинформацию, связанную с выборами, на польском сервисе wykop.pl
В этой часте мы рассмотрим кампанию по дезинформации в польской социальной сети - wykop.pl
OSINT и промышленные системы управления
Со времени последних исследований, я узнал много нового об устройствах промышленных систем управления, их типах или поставщиках, а также об общем подходе к такого рода исследованиям. Прямо сейчас последняя статья выглядела бы совершенно иначе из-за изменений в Kamerka. Обновление делает все проще, оно включает в себя множество новых функций, таких как GUI, Google Maps, WHOIS XML и BinaryEdge или более 100 устройств на выбор. Это просто превосходный разведывательный инструмент ICS / IoT, красиво представленный и предназначенный для использования аналитиками разведки.
Для большинства людей, которые использовали Kamerka, это просто еще один инструмент, который может найти интересные устройства в Shodan, но для исследователей, специализирующихся на мониторинге открытых устройств, это кладезь информации. Когда критическая инфраструктура становится игрой, все кажется интересным, ни одно устройство в секторе критической инфраструктуры не должно быть обращено к Интернету ни при каких обстоятельствах. Основная цель этого исследования - найти любое устройство или панель управления, подключенные непосредственно к Интернету, которые считаются критически важной инфраструктурой.
Министерство внутренней безопасности США разработало специальное руководство в отношении критически важной инфраструктуры во время вспышки Коронавируса.
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Существует множество секторов, которые должны работать непрерывно и требовать дополнительных мер безопасности. Я написал больше о каждом секторе в первой части, и вы можете познакомиться с ней.
В настоящее время наиболее важным сектором является общественное здравоохранение. Для его изучения необходим более точный подход, чем обычное сканирование устройств ICS/SCADA. Вы можете прочитать мое исследование - как найти незащищенные медицинские устройства / услуги и узнать об отрасли здравоохранения.
Ссылка скрыта от гостей
В настоящее время вы можете встретить сотни тысяч общедоступных устройств SCADA от разных производителей и различных моделей. Так как же найти только те, которые работают в упомянутых 16 секторах критической инфраструктуры?
OSINT и критическая инфраструктура
Во-первых, давайте ответим на вопрос, почему и кто атакует критически важные службы, необходимые для работы муниципалитета и страны в целом. По-прежнему наиболее опасными являются APT и их оружие - самый известный Stuxnet или Triton. Я помещаю инсайдеров также в группу угроз из-за их знаний. Если они не имеют прямого доступа или не знают пароля, они могут быть полезны, когда нужно сопоставить сеть или компоненты.
Кто атакует промышленные системы управления?
Преступные группы не часто атакуют на устройства промышленной отрасли, однако, в последнее время это начинает становиться реальностью. Описанный Dragos вымогатель, получивший название «Ekans», показал некоторые признаки, которые могут указывать на интерес к устройствам ICS.
EKANS Ransomware и ICS Операции
Ссылка скрыта от гостей
Последней группой, которая может представлять угрозу, являются террористы, в нее также входят различные формы хактивизма. Я еще не слышал ни о каком подобном случае, но в будущем это может стать большой проблемой. Из-за множества разоблаченных устройств и простоты получения доступа, кто-то может вызвать сбой, что в таком случае является угрозой для национальной безопасности. Это также показывает силу противника, может ослабить экономику и нанести ущерб общественной морали.
Мы уже знаем, кто может стать мишенью ICS, поэтому сейчас мы должны подумать, какой субъект информационной угрозы может собрать во время разведки. Это идеальный момент, чтобы напомнить о MITRE ATTACK для ICS, он описывает каждый шаг атаки на устройства SCADA/ICS.
Ссылка скрыта от гостей
Моя презентация посвящена первому шагу - "Начальный доступ", и состоит из различных способов и методов получения информации, которая поддерживают всю цепочку кибератак.
- Использование публичного приложения:
Ссылка скрыта от гостей.
- Внешние удаленные службы:
Ссылка скрыта от гостей
- Спирфинговое приложение:
Ссылка скрыта от гостей.
- Устройство, доступное в Интернет:
Ссылка скрыта от гостей
Стоит отметить, что одна из групп, связанных с Industroyer, используя уязвимое устройство.
Чтобы защищаться от любой группы, я предпочитаю агрессивный подход и нахожу, как можно больше слабых точек входа. Это действительно сложная задача, поскольку наше поле битвы - это целая страна, и каждое уязвимое устройство принадлежащее ей.
Я выделяю три наиболее важные категории для устройств ICS с точки зрения OSINT.
Какую информацию может получить злоумышленник?
От самого устройства злоумышленник может получить огромное количество информации, такой как: поставщик, модель, уязвимости, а также обо всей машине - о разных портах или слабых местах. Панель входа или WHOIS может раскрыть информацию о фактическом местоположении устройства или здания, в котором оно расположено. С этого момента мы можем перейти к исследованию физической безопасности, основываясь на картах Google, фотографиях в социальных сетях или просмотрах истории спутников из @planetlabs. Я также сделал конкретный пример попытки фишинга исключительно для конференции ICS.
KAMERKA и Юго-Восточная Азия
Все вы, возможно, уже знакомы с инструментом Kamerka, если кратко - это платформа для сбора информации об устройствах ICS, IIoT и IoT на основе координат или по всей стране. Исследования конференции также были основаны на Kamerka, я использовал ее, чтобы собрать все необходимые данные, создать графики и визуализировать их на карте. Если вы не знакомы с этим инструментом, вы можете прочитать о нем здесь.
Ссылка скрыта от гостей
Прежде чем перейти к конкретным критическим находкам по инфраструктуре, давайте посмотрим на статистику об открытых устройствах в регионе Юго-Восточной Азии. На Kamerka у нас есть общая панель инструментов, которая представлена ниже.
Панель инструментов Kamerka для Юго-Восточной Азии
Он также поддерживает карту для каждого поиска на всех устройствах. На карте представлены устройства в Юго-Восточной Азии.
Карта Системы Промышленного Контроля для Юго-Восточной Азии
Кроме того, во время исследования были перемещенны 3 системы SAILOR 900 VSAT, и корабли были расположены в Персидском заливе, Оманском заливе и один стоял в порту в Шардже, Объединенные Арабские Эмираты. Чтобы найти системы VSAT, Kamerka не собирает геолокации IP, а берет точные координаты из открытой панели управления VSAT и помещает ее в карту.
Корабль, припаркованный в Шардже (ОАЭ)
Я взял 10 крупнейших стран в Юго-Восточной Азии и обнаружил 3083 незащищенных устройства промышленной системы управления. На диаграмме ниже представлены отношения между странами и количеством устройств.
Я пропустил Тимор-Лешти и Лаоса из-за полного отсутствия устройств. Сингапур расположен на первом месте, но я встречал много honeypot'ов.
Следующая диаграмма показывает процент типов и поставщиков, используемых в ICS в Юго-Восточной Азии.
BACnet является самым популярным и работает почти на 1/4 всех устройств. Windweb (третье место) используется многими встроенными системами, такими же, как VxWorks. В этом регионе подвержены 82 системы безопасности Bosch, которые уязвимы для RCE. Полный список запросов и устройств на Kamerka доступен здесь.
GitHub - woj-ciech/Kamerka-GUI: Ultimate Internet of Things/Industrial Control Systems reconnaissance tool.
Ultimate Internet of Things/Industrial Control Systems reconnaissance tool. - woj-ciech/Kamerka-GUI
github.com
Наиболее используемые порты ICS
Разные устройства Lantronix прослушивают на 161 порту, но это также на графике из-за Сингапурских honeypot'ов. Один из примеров такого honeypot олицетворяет устройство Simatic на порту 161.
Ссылка скрыта от гостей
Статистика необходима, если кто-то задумывается о развитии эксплуатации в целях массовой использования в конкретной стране. Если одна страна нацелена на Индонезию, где Crestron является наиболее распространенным устройством, разумно будет приложить максимум усилий и денег для поиска уязвимостей в этом конкретном устройстве/поставщике.
Взяв карту, статистику и информацию о каждом хосте, мы можем начать копать. На самом деле, с такой необьятной точкой зрения можно получить много интересных данных.
Некоторые устройства могут фактически работать в критической инфраструктуре, но с точки зрения OSINT ничто не указывает на такой вывод: нет точной информации WHOIS, нет имени хоста или отсутствует какой-либо индикатор в панели входа в систему.
С другой стороны, многие панели содержат информацию, полезную для определения местоположения устройства, во многих случаях это имя объекта или физический адрес.
Первая станция принадлежит университету Sains Islan в Малайзии и вторая - торговому центру Mega Bagna в Таиланде.
И есть третий тип уязвимого устройства, придосталяющая доступ к информации, и которая не должна быть раскрыта. Много устройств стоят за аутентификацией и позволяют только считывать данные, но это поток информации с точки зрения получения внутренних знаний о потенциальной цели - организации или помещения. Чтобы получить полный доступ, ничто не остановит злоумышленников от использования существующих уязвимостей или попыток взлома пароля.
Вышеуказанная панель управления отвечает за работу в аптеке в Малайзии и раскрывает информацию об отоплении, вентиляции, кондиционировании, охлаждении (HVACR) и системе управления зданием (BMS) в целом.
Другим примером может служить Wiser для KNX (homeLYnk), которая представляет собой персонализированное решение для домашней автоматизации, предлагающее комплексную систему, основанную на открытых протоколах, таких как KNX, Modbus, BACnet и IP. Она зарегистрирована на фармацевтическую компанию в Индонезии - Novo Nordisk.
Я мог бы привести много подобных примеров, но мы здесь для того, чтобы поймать крупную рыбу и найти устройство в критической инфраструктуре, которые могут нанести непоправимый ущерб обществу.
KAMERKA И КРИТИЧЕСКАЯ ИНФРАСТРУКТУРА В ЮГО-ВОСТОЧНОЙ АЗИИ
Ни одно устройство не было взломано.
Не было причинено никаких повреждений.
Результаты были отправлены.
Поэтому сейчас мы ищем все, что может работать в одном из 16 секторов, упомянутых ранее. Это может быть устройство на электростанции, станции очистки сточных вод, больнице, лаборатории или исследовательском центре. Это огромная сфера с множеством творческих возможностей для получения информации и поиска потенциальной точки входа или целевого персонала.
Индикатор на панелях входа в систему, показанный выше, является лишь одним из примеров возможного устройства геолокации и его построения. Kamerka извлекает эти показатели из:
- Niagara Fox - название станции,
- NMEA - точные координаты,
- Корабли - точные координаты,
- Танки - физический адрес,
- BACnet - название проектов
Вы можете найти дополнительные индикаторы в имени хоста, сертификатах, пользователях, адресах электронной почты, информации WHOIS или в самом устройстве.
Водопроводные сооружения Choa Chu Kang (Чоа Чу Канг)
Первая часть исследования «Сбор информации о критической инфраструктуре в США» в основном базировалась на открытых станциях Niagara Fox. Первое обнаружение показывает, о чем предупреждает ФБР - порт 1911 и его раскрытие информации.
Ссылка скрыта от гостей
Kamerka нашла 3 IP-адреса в Сингапуре с незащищенным портом 1911 и «CCKWWSolar» в названии их станции.
Я узнал много нового о различных инфраструктурах в Азии благодаря расшифровке многих аббревиатур и поиску их значений, которые для меня до этого были неизвестны. Оказалось, что CCKWW означает Choa Chu Kang WaterWorks, звучит достаточно интересно, поэтому я решил исследовать это подробнее. Первое, что нужно сделать, это определить местонахождение объекта. Kamerka помогает в этом: переключитесь на вкладку Locate и впишите объект в поисковой форме Google maps, нажмите зеленую кнопку, чтобы нарисовать маршрут, получите координаты и введите их в поле "Обновить местоположение".
Затем нажмите на синюю кнопку. После этого некоторые вкладки станут зелеными, что означает, что устройство было найдено. Вы можете посмотреть поближе, увеличив масштаб и переключившись на вид со спутника.
Всегда следует полагаться и на ручные исследования, находя любую возможную информацию и фотографию об объекте. Это может быть связано с финансированием, членами правления, планами зданий или фотографиями, на которых изображена внутренняя инфраструктура, например, комнаты или серверы.
На спутниковых фотографиях видны многие солнечные батареи, а три IP-адреса, связанные с солнечной инфраструктурой, напрямую доступны через Интернет.
Статья на straitstimes.com указывает на установку более чем 3300 солнечных панелей в водопроводной станции Choa Chu Kang состоянием на 25 июня 2015.
Ссылка скрыта от гостей
Чтобы увидеть, где были добавлены солнечные панели, и как был восстановлен объект, мы можем использовать спутниковые снимки планетарной лаборатории. Ниже приведено сравнение, показывающее изменения с 2015 года.
Мы можем четко увидеть, где были установлены солнечные панели, и что злоумышленник может поставить под угрозу.
Ссылка скрыта от гостей
Royal Irrigation Department - Lat Pho Canal (Королевский ирригационный департамент - Лат Фо Канал)
По умолчанию Niagara Fox раскрывает много информации, но в основном это касается устройства, то есть модели, поставщика, операционной системы или версии виртуальной машины. Панели продукта mySCADA отображают больше, чем обязаны, если не настроены должным образом. Пользователи, не прошедшие аутентификацию, могут взглянуть на информацию обо всей инфраструктуре, используемой приложением. Одним из примеров может служить Lat Pho Canal, управляемый Королевским департаментом ирригации в Таиланде.
Как видите, приложение mySCADA поддерживает плотины на одной из рек Таиланда, раскрывая при этом много интересной информации. Во-первых, у нас есть графический интерфейс, включающий изображение плотин, данные и графики.
Он также предоставляет доступ к каждой плотине и возможность управления для аутентифицированных пользователей. Для людей, знающих архитектуру конкретной инфраструктуры и операционное программное обеспечение, легко взять на себя полное управление и причинить ущерб или собрать шпионскую информацию, такую как состояние устройства или аварийные сигналы.
Как всегда, ручное исследование необходимо для того чтобы подтвердить расположение места, собрать больше деталей и оценить потенциальный ущерб, который может быть нанесен обществу.
Ссылка скрыта от гостей
Описание подходит для изображения плотин из приложения mySCADA, и теперь мы также знаем больше об использовании инфраструктуры. Наверняка это считается критически важной инфраструктурой и может использоваться для выработки электроэнергии. Следующим шагом в кибератаке будет сбор как можно большего количества информации о персонале. В верхнем левом углу приложения mySCADA находится логотип Королевского ирригационного департамента.
Ссылка скрыта от гостей
На официальном правительственном веб-сайте мы можем узнать, что руководители все еще используют домены Yahoo и Hotmail для управления. Проверка дампов паролей для этих конкретных писем и использование их для «повышения привилегий» звучит как первое, что приходит в голову злоумышленнику.
Мы не забываем обновить местоположение в Kamerka и проверить, как оно выглядит в Google Images / Maps.
Электростанция Paiton Power Station - PT. Jawa Power
Эти находки не сложны, но я изложил их здесь, потому что это самая большая энергетическая электростанция с открытыми устройствами, которые я нашел.
Это HTML-сайт с встроенным JAR-файлом, возможно, для удаленного подключения, но он не был доступен во время исследования.
Кроме того, еще один открытый порт на этой же машине показывает устройство Solar-Log 1200.
Он дает внутренний взгляд на статистику, финансы, используемую прошивку или детали инвертора.
Нам необходимо обновить местоположение на Kamerka.
Ниже на фотографии представлено абсолютно точное место, где была сделана фотография с сайта. Это было перед первым синим зданием, на заднем плане - два небольших блока и одна большая дымоходная труба.
Система очистки воды - Võ Cạnh
Водный сектор является еще одним в критической инфраструктуре и отвечает за фильтрацию и улучшение воды. На следующем этапе он распространяется для питьевого, ирригационного или промышленного водоснабжения. Нет сомнений в том, что нарушение процесса такой установки приведет к приостановке его эксплуатации и снабжения.
В этом случае портал Atvise не был должным образом защищен и дает доступ к каждой насосной станции, зонам обработки, блокам или хранилищам химикатов.
Определенно слишком много информации раскрыто, злоумышленник может получить представление о процессах, системах или устройствах, используемых на предприятии.
Владельцем инфраструктуры является Khawassco, которая работает во Вьетнаме и предоставляет следующие услуги:
Ссылка скрыта от гостей
- Производить и поставлять чистую воду.
- Обследование, проектирование очаговых работ и системы водоснабжения и водоотведения.
- Строительство и монтаж очаговых работ и дренажной сети.
- Консультирование, проверка проекта сети и работ водопроводной и дренажной насосной станции
- Управление и развитие городской дренажной системы Нячанга.
- Настройка инвестиционных проектов водопроводных и дренажных работ.
- Сбор резервуаров (септиков) для домашних хозяйств.
- Надзор за строительством водопроводно-канализационных работ класса 2.
- Тестирование счетчиков воды от 15мм - 50мм.
С их официального сайта мы можем подтвердить, что система очистки воды в Вых Кун принадлежит им.
Ссылка скрыта от гостей
В Интернете не так много информации об этом заводе, я нашел одну фотографию с 2016 года и соответствующую статью
Ссылка скрыта от гостей
UEM Edgenta Berhad - Менара UEM Tower
Обычно можно найти открытые рабочие станции умного дома или здания, но я впервые обнаружил, что здание такого размера. Любой может получить доступ к разнообразной информации о строительстве - энергии, отоплении, вентиляторах или освещении. Включает в себя потребление данных в реальном времени, статистику, графики или наиболее интересные финансы и бюджет.
Приложение также раскрывает детали каждого устройства и план каждого этажа. Оно очень полезно в случае физического проникновения.
Здание принадлежит группе UEM и расположено в Куала-Лумпуре, Малайзия.
На скриншоте видно, что здание имеет 17 этажей. Мы можем получить фотографию и сравнить ее с реальным видом.
Национальная лаборатория технологии преобразования энергии
Ссылка скрыта от гостей
Один из серверов, принадлежащий B2TKE, выставляет панель управления для Smart Microgrid, поддерживающую большой регион - 15 зданий, зарядные станции и многое другое. По умолчанию отображается карта и детали о потреблении энергии или активной мощности. Существует множество различных сохраненных представлений, которые полезны для сбора сведений о компании и физических устройствах - их местонахождении и использовании. Кроме того, в нем раскрываются подробные сведения об использовании энергии в реальном времени, а также сведения о многих устройствах, связанных с инфраструктурой.
Если этого недостаточно, он раскрывает внутреннюю сетевую инфраструктуру, которая как святой Грааль в мире разведки.
Он содержит схему, типы устройств и внутренние IP-адреса. Имея эту информацию, можно свободно перемещаться по сети BPTT. Есть пара устройств, которые явно используются в солнечной технологии, но диаграмма показывает также адреса виртуальных частных сетей или камер видеонаблюдения.
Я начал копать глубже и сделал карту с открытой панели.
в Google Maps
Здания, которые являются частью инфраструктуры и экспонируются в микросети, относятся к:
- Биотехнологиям
- Научно-исследовательские институты
- Государственные учреждения
- Зарядные станции
- Электрическая подстанция
На мой взгляд, самым хрупким объектом является электрическая подстанция, расположенная в правой части скриншота карт Google.
Выход на поле
Для достижения полной кибер-физической безопасности необходимо учитывать множество факторов. Чтобы проверить это, нам не нужно выходить на улицу, все может быть сделано перед компьютером, например, сканирование, разведка или попытки фишинга. Red teams используют разные тактики для проверки физической безопасности зданий, я никогда не слышал о какой-либо возможной физической красной команде для критически важной инфраструктуры, однако я хочу сказать, что вы должны выйти, чтобы проверить фактическое здание.
Для этого я создал Kamerka Mobile, который работает на Android и использует Pastebin в качестве хранилища данных. Вы можете отправить координаты и дополнительную информацию из веб-версии Kamerka и получить к ней доступ на своем мобильном телефоне.
Если вам нравится идея мобильного приложения, вы можете прочитать о нем подробнее в этой статье.
Ссылка скрыта от гостей
Я представил только 5 результатов из Сингапура, Таиланда, Вьетнама, Малайзии и Индонезии в качестве примера того, что любая инфраструктура может столкнуться с Интернетом, и раскрывает множество информации, которую ищет злоумышленник. Любая раскрытая информация приближает злоумышленника к компрометации системы или злоупотреблению полученной информацией. Так что же могут сделать организации, чтобы защитить себя?
Как защитить ICS
Вывод
Я твердо убежден, что подобный подход должен использоваться каждой страной и уполномоченным кибер-субъектом для информирования владельцев о потенциально опасных открытых устройствах в их собственном киберпространстве, а также для обеспечения наступательных возможностей на вражеской территории. Kamerka дает вам возможность быстро получить информацию о промышленной системе управления и углубиться в собственное исследование, чтобы поддержать целую цепочку кибератак.
Исследования, связанные с критической инфраструктурой, - это лучшее, на что способен аналитик по вопросам безопасности и военным вопросам. Они включают в себя практически любую область OSINT, которую вы можете себе представить - технические исследования, человеческий интеллект, GEOINT и многое другое, зависит от ваших творческих способностей и навыков сбора разведывательных данных.
