Оригинал статьи: https://www.icscybersecurityconference.com/intelligence-gathering-on-u-s-critical-infrastructure/
OSINT
OSINT (Open Source INTelligence) - поиск, сбор и анализ информации, полученной из общедоступных источников. За скромным определением скрываются тысячи методов нахождения информации практически обо всем, что нас окружает - будь то человек, достопримечательность или программный продукт. В качестве источников информации могут выступать телевидение, радио и газеты; интернет, а также содержащиеся в нем данные - веб-сайты, социальные сети, блоги и многое другое.
OSINT используется во множестве видов расследований: от поиска геолокации по фотографиям до отслеживания конкретных лиц. Он смешан с другими методами разведки, такими как агентурная разведка (HUMINT), геопространственная разведка (GEOINT) или кибер разведка (CYBINT). Сам процесс поиска информации можно сравнить с разбитой вазой, узор которой нам неизвестен. Пока осколки хаотично валяются на полу, как бы мы не пытались, понять, как выглядит узор, воссоздать полную картину нам не получится. Тем не менее эти осколки у нас перед глазами и все может измениться, если мы соберем их воедино.
Критическая инфраструктура
Критическая инфраструктура - это очень широкое понятие. Часто бывают спорные ситуации, когда сложно определить, подходит ли тот или иной объект под это определение. Если быть кратким, то критическая инфраструктура - это объекты, системы или их части, которые жизненно важны для функционирования общества. Разрушение или выведения их из строя могут повлиять на национальную безопасность, здравоохранение, энергетику или водоснабжение.
Министерство внутренней безопасности США выделяет 16 различных отраслей критической инфраструктуры:
OSINT и критическая инфраструктура
Зная основы OSINT и критические сектора инфраструктуры, мы можем объединить эти две вещи для сбора информации о важнейших активах страны. Сбор информации важен для понимания слабых сторон противника. Этот шаг занимает первое место в цепочке Kill Chain.
OSINT используется разведывательными службами для шпионажа и демонстрации собственной силы. OSINT используется и различными криминальными группами для получения денежной выгоды - они используют его для того, чтобы разрабатывать и продавать вредоносное ПО для ICS. На ICS охотятся и террористы, основная цели которых - ослабление экономики страны, понижение уровня общественной морали и угроза национальной безопасности.
Данные, используемые при поиске ICS:
Данные, возвращаемые устройствами BACnet:
Данные, возвращаемые устройствами Niagara Fox:
Пример ответа от Niagara Fox устройства:
Сбор данных
В процессе поиска, я использовал два сервиса, это Shodan и BinaryEdge. Оба этих сервиса позволяют пользователям искать подключенные к интернету устройства, в том числе ICS. Благодаря фильтрам, можно сузить область поиска до конкретной страны, продукта или версии.
В отличие от Shodan, BinaryEdge предоставляет готовые к использованию запросы для фильтрации устройств ICS, но при этом не поддерживает геолокацию по IP-адресу. Одним из существенных минусов Shodan'а является его платная подписка, из - за которой большое количество тегов нельзя использовать, просто зарегистрировавшись на сайте.
Небольшой список протоколов, используемых устройствами в промышленности:
Помимо поиска с помощью тегов и готовых сервисов, можно искать устройства вручную. Для этого нужно знать стандартные порты ICS устройств и примерный ответ, который они возвращают. Для этого лучше всего использовать Masscan или аналогичный инструмент с поддержкой регулярных выражений.
Регулярка для поиска устройств Niagara Fox:
Регулярка для поиска серверов Allen-Bradley:
Кроме того, для получения более подробной информации об устройствах, можно использовать скрипты Nmap Scripting Engine.
Kamerka
Kamerka - инструмент для поиска незащищенных камер видеонаблюдения при помощи поисковика Shodan и визуализации их на картах. Позволяет также находить устройства, работающие по близости (с ранее найденными). Умеет искать ICS и принтеры. Поддерживает фильтрацию по странам.
Одной из основных целей поиска камер является промышленный шпионаж. Камеры часто располагаются рядом со зданиями, имеющими высокую военную или коммерческую ценность.
Пример устройств промышленного интернета вещей (IIoT), работающих на одной из электростанций в Нью-Йорке:
Мне пришлось немного подправить скрипт камерки, чтобы собрать бОльший объем данных, чем обычно, и поместить его в Elasticsearch для более удобного управления. Теперь все данные можно визуализировать:
Объектов слишком много, придется вновь использовать фильтры.
Устройства с открытым 5900 портом (Virtual Network Computing):
Устройства с открытым 789 портом (Red Lion Controls):
Статистика
Теперь немного статистических данных.
Самые незащищенные организации:
Количество уязвимых устройств по городам:
Открытые порты:
Топ 5 открытых ICS портов:
Топ 5 частых портов:
Результаты
На 80 и 8080 портах можно найти веб-панели для управления. Они нужны для того, чтобы специалисты могли управлять инфраструктурой без физического присутствия на местах, т.е. удаленно. Однако, использование таких решений требует дополнительной защиты, которая чаще всего отсутствует. Слабые или даже стандартные пароли - это самая распространенная ошибка, которая может привести к серьезным убыткам для компании.
OSINT предполагает чтение документации и руководств пользователя, чтобы получить информацию о том, как что-то работает, и какие функции можно использовать для получения дополнительной информации.
Полный список дефолтных данных для авторизации можно найти
Ниже скриншоты окон авторизации в панели управления:
Некоторые устройства предоставляют информацию о конфигурации сети, статистике или настройках без авторизации.
Одна из худших вещей - запуск VNC без аутентификации на устройствах ICS. Это то, чего не должно происходить вообще, и это явная ошибка из - за отсутствия знаний о собственной инфраструктуре. С точки зрения противника это легко использовать - он получает контроль над устройством сразу же, минуя все системы защиты. К слову, VNC работают на порту 5900.
Технологии и бренды, отображаемые на экране, рассказывают нам о технических характеристиках и способах использования устройств.
Геолокации
При разведке критически важной инфраструктуры, необходимо исключить устройства, не имеющие стратегического значения. К таким устройствам, к примеру, можно отнести систему управления фонтаном в парке.
Как это сделать?
Как я уже говорил ранее, от некоторых устройств, в ответе, можно увидеть информацию об их расположении, указанную при настройке. Как правило, никто не указывает ложные сведения.
Однако, если этой информации нет, при помощи геолокации по IP можно определить город, а за ним следует поиск нужного нам объекта по карте.
Приведу пару примеров.
Отрасль систем водоснабжения и водоотведения
Вы уже знаете, какие отрасли должны быть защищены с особой тщательностью. Одной из таких отраслей является отрасль систем водоснабжения и канализации. При нарушении её функционировании, доступ к питьевой воде может быть ограничен, что создаст серьезные проблемы для общества.
На скриншоте ниже, взглянув на параметр "station.name", можно понять, что мы имеем дело со станцией по очистке сточных вод. Расположение не указано.
Воспользуемся геолокацией по IP-адресу (я использую бесплатный сервис Maxmind). IP-геолокация указывает на 14 Summer Street в Берлингтоне, штат Вермонт, что в 1,5 милях от ближайшей станции очистки сточных вод.
Имея эту информацию, следующим шагом будет подготовка к физическому наблюдению и активному сбору информации путем сканирования ресурса и поиска дополнительных сведений о нём в сети.
Химическая отрасль
Местоположение объекта написано прямо в параметре "station.name".
«Название станции» содержит информацию о месте (Pearl River), штате (New-York) и названии организации (Pfizer).
Отрасль здравоохранения
Устройства в больницах дорогостоящие и, как правило, слабо защищенные. Любые перебои в их работе могут привести к гибели людей. На этих объектах, по дефолту, должно быть запрещено удаленное подключение. Одним из примеров неправильной конфигурации сектора здравоохранения является. Однако, в пьемонтской больнице все наоборот. Мало того, что устройство проиндексировано, так ещё и указано его расположение.
Зная точное его местоположение, мы можем увидеть, точна ли геолокация по IP.
В этом случае он находится в 3,5 милях от цели - 2151 West Spring Street.
Иногда на официальных сайтах можно найти внутренний план здания. Далее следует работа инсайдеров.
Энергетическая отрасль
Энергетическая отрасль очень специфична из-за высокой зависимости от других отраслей, таких как производственная отрасль или отрасль государственных учреждений. Без стабильного энергоснабжения, предприятия не смогут функционировать должным образом. Читая новости и отслеживая историю кибератак, могу сказать, что это одна из наиболее приоритетных отраслей - должно быть, каждый слышал об атаках на энергетические компании Украины.
Иногда случается так, что геолокация по IP не может быть точно определена - она просто указывает на столицу. Если нам больше не за что зацепиться, местоположение не определить.
Однако, в нашем случае, это не так. Просто ищем "Balley Power Plant" на картах.
Оборонно-промышленная отрасль
Есть много правительственных подрядчиков, которые работают с секретными документами, производят дорогостоящее оборудование или как - то сотрудничают другими способами. Но факт в том, что публикация каких - либо сведений может привести к угрозе национальной безопасности.
Однако, тут у нас классика.
Геолокация указывает на Clarks Summit, Пенсильвания. Ближайший объект Lockheed Martin находится в 11 милях.
С официального сайта мы можем узнать информацию о конкретном объекте и его роли.
Чтобы сравнить результаты Google Maps с реальным видом, мы можем зайти на официальный сайт Lockheed Martin и найти это здание.
OSINT (Open Source INTelligence) - поиск, сбор и анализ информации, полученной из общедоступных источников. За скромным определением скрываются тысячи методов нахождения информации практически обо всем, что нас окружает - будь то человек, достопримечательность или программный продукт. В качестве источников информации могут выступать телевидение, радио и газеты; интернет, а также содержащиеся в нем данные - веб-сайты, социальные сети, блоги и многое другое.
OSINT используется во множестве видов расследований: от поиска геолокации по фотографиям до отслеживания конкретных лиц. Он смешан с другими методами разведки, такими как агентурная разведка (HUMINT), геопространственная разведка (GEOINT) или кибер разведка (CYBINT). Сам процесс поиска информации можно сравнить с разбитой вазой, узор которой нам неизвестен. Пока осколки хаотично валяются на полу, как бы мы не пытались, понять, как выглядит узор, воссоздать полную картину нам не получится. Тем не менее эти осколки у нас перед глазами и все может измениться, если мы соберем их воедино.
Критическая инфраструктура
Критическая инфраструктура - это очень широкое понятие. Часто бывают спорные ситуации, когда сложно определить, подходит ли тот или иной объект под это определение. Если быть кратким, то критическая инфраструктура - это объекты, системы или их части, которые жизненно важны для функционирования общества. Разрушение или выведения их из строя могут повлиять на национальную безопасность, здравоохранение, энергетику или водоснабжение.
Министерство внутренней безопасности США выделяет 16 различных отраслей критической инфраструктуры:
- Химическая - производство различных химикатов;
- Коммерческая - места, которые собирают большие толпы людей: стадионы, торговые центры, казино, парки развлечений и прочее;
- Сетевая - обеспечивает связь между другими областями и включает в себя беспроводные, наземные и спутниковые устройства для передачи данных;
- Транспортная - перевозка людей или товаров: железные дороги, аэропорты и прочее.
- Производственная - обработка металлов, производство запчастей и оборудования. Обеспечивает экономическое процветание и преемственность страны;
- Оборонно-промышленная - каждый объект, который разрабатывает или поставляет военное оружие. Государственные подрядчики, занимающиеся исследованиями и разработкой новых видов вооружения, также входят в эту отрасль;
- ЧC. Сюда входят правоохранительные и пожарные службы, а также службы неотложной медицинской помощи. Помимо этого, отряды спецназа, поисковые и спасательные команды;
- Энергетика - обеспечивает электричеством города и предприятия. Без стабильного энергоснабжения, остальная часть критически важной инфраструктуры страны может оказаться в опасности;
- Финансовые организации - в пояснении не нуждаются;
- Продовольствие и сельское хозяйство. Состоит из ферм, ресторанов и предприятий по производству продуктов питания;
- Государственные объекты - все здания, находящиеся в государственной собственности или арендуемые государством. Наиболее важными объектами в этом секторе являются военные объекты, национальные лаборатории, здания суда и посольства.
- Здравоохранение - защищает другие сектора от природных / техногенных катастроф или инфекционных заболеваний;
- Информационные технологии;
- Ядерные реакторы и предприятия по переработке отходов;
- Системы водоснабжения и канализации - обеспечивают подачу питьевой воды и очистку сточных вод;
- Плотины - защищают от затоплений.
OSINT и критическая инфраструктура
Зная основы OSINT и критические сектора инфраструктуры, мы можем объединить эти две вещи для сбора информации о важнейших активах страны. Сбор информации важен для понимания слабых сторон противника. Этот шаг занимает первое место в цепочке Kill Chain.
OSINT используется разведывательными службами для шпионажа и демонстрации собственной силы. OSINT используется и различными криминальными группами для получения денежной выгоды - они используют его для того, чтобы разрабатывать и продавать вредоносное ПО для ICS. На ICS охотятся и террористы, основная цели которых - ослабление экономики страны, понижение уровня общественной морали и угроза национальной безопасности.
Данные, используемые при поиске ICS:
- IP-адрес(а) - можно сканировать как отдельные адреса, так и целые подсети на наличие необычных портов;
- Технологии, используемые на устройствах - по ним можно найти уязвимости, а следовательно и эксплойты, под конкретную систему.
- Ответ - предоставляет много полезных и подробных данных о работающем устройстве, среди которых часто можно увидеть реальное местоположение устройств. Во время настройки, технические специалисты вводят название улицы, здания, номер телефона или другую конфиденциальную информацию.
Данные, возвращаемые устройствами BACnet:
- Идентификатор устройства
- Имя устройства
- Модель устройства
- Описание устройства
- Версия прошивки
- Расположение
- и прочее
Данные, возвращаемые устройствами Niagara Fox:
- Версия прошивки
- Имя хоста
- Адрес хоста
- Название приложения
- Версия приложения
- Название станции
- Часовой пояс
- и прочее
Пример ответа от Niagara Fox устройства:
Код:
ox a 0 -1 fox hello\n{\nfox.version=s:1.0.1\nid=i:255149\nhostName=s:192.168.1.11\nhostAddress=s:192.168.1.11\napp.name=s:Station\napp.version=s:3.8.311\nvm.name=s:Java HotSpot(TM) Embedded Client VM\nvm.version=s:25.141-b06\nos.name=s:QNX\nos.version=s:6.5.0\nstation.name=s:Guadelupe_Jail\nlang=s:en\ntimeZone=s:America/Chicago;-21600000;3600000;02:00:00.000,wall,march,8,on or after,sunday,undefined;02:00:00.000,wall,november,1,on or after,sunday,undefined\nhostId=s:Qnx-JVLN-0000–05A1–7B93\nvmUuid=s:11e98b97-b656–1c50–0000–00000000bafd\nbrandId=s:vykon\nsysInfo=o:bog 61[<bog version=”1.0″>\n<p m=”b=baja” t=”b:Facets” v=””/>\n</bog>\n]\nauthAgentTypeSpecs=s:fox:FoxUsernamePasswordAuthAgent\n};;\nfox a 1 -1 fox rejected\n{\n};;\nСбор данных
В процессе поиска, я использовал два сервиса, это Shodan и BinaryEdge. Оба этих сервиса позволяют пользователям искать подключенные к интернету устройства, в том числе ICS. Благодаря фильтрам, можно сузить область поиска до конкретной страны, продукта или версии.
В отличие от Shodan, BinaryEdge предоставляет готовые к использованию запросы для фильтрации устройств ICS, но при этом не поддерживает геолокацию по IP-адресу. Одним из существенных минусов Shodan'а является его платная подписка, из - за которой большое количество тегов нельзя использовать, просто зарегистрировавшись на сайте.
Небольшой список протоколов, используемых устройствами в промышленности:
- Modbus
- Siemens S7
- Tridium
- General Electric
- BACnet
- HART IP
- Omron
- Mitsubishi Electric
- DNP3
- EtherNet/IP
- PCWorx
- Red Lion
- Codesys
- IEC 60870–5–104
- ProConOS
Помимо поиска с помощью тегов и готовых сервисов, можно искать устройства вручную. Для этого нужно знать стандартные порты ICS устройств и примерный ответ, который они возвращают. Для этого лучше всего использовать Masscan или аналогичный инструмент с поддержкой регулярных выражений.
Регулярка для поиска устройств Niagara Fox:
Код:
match niagara-fox m|^fox a 0 -1 fox hello\n\{\nfox\.version=s:([\d.]+)\nid=i:\d+.*\napp\.name=s:Station\napp\.version=s:([\d.]+)\n|s p/Tridium Niagara/ v/$2/ i/fox version $1/ cpe:/a:tridium:niagara:$2/Регулярка для поиска серверов Allen-Bradley:
Код:
match http m|^HTTP/1\.0 200 OK \r\nServer: A-B WWW/([\d.]+)\r\n.*<img src=\”/images/rockcolor\.gif|s p/Allen-Bradley WWW httpd/ v/$1/ i/Rockwell Automation Ethernet Processor http config/Кроме того, для получения более подробной информации об устройствах, можно использовать скрипты Nmap Scripting Engine.
Kamerka
Kamerka - инструмент для поиска незащищенных камер видеонаблюдения при помощи поисковика Shodan и визуализации их на картах. Позволяет также находить устройства, работающие по близости (с ранее найденными). Умеет искать ICS и принтеры. Поддерживает фильтрацию по странам.
Одной из основных целей поиска камер является промышленный шпионаж. Камеры часто располагаются рядом со зданиями, имеющими высокую военную или коммерческую ценность.
Пример устройств промышленного интернета вещей (IIoT), работающих на одной из электростанций в Нью-Йорке:
Мне пришлось немного подправить скрипт камерки, чтобы собрать бОльший объем данных, чем обычно, и поместить его в Elasticsearch для более удобного управления. Теперь все данные можно визуализировать:
Объектов слишком много, придется вновь использовать фильтры.
Устройства с открытым 5900 портом (Virtual Network Computing):
Устройства с открытым 789 портом (Red Lion Controls):
Статистика
Теперь немного статистических данных.
Самые незащищенные организации:
Количество уязвимых устройств по городам:
Открытые порты:
Топ 5 открытых ICS портов:
- 1911
- 47808
- 4911
- 502
- 44818
Топ 5 частых портов:
- 80
- 443
- 8080
- 8443
- 22
Результаты
На 80 и 8080 портах можно найти веб-панели для управления. Они нужны для того, чтобы специалисты могли управлять инфраструктурой без физического присутствия на местах, т.е. удаленно. Однако, использование таких решений требует дополнительной защиты, которая чаще всего отсутствует. Слабые или даже стандартные пароли - это самая распространенная ошибка, которая может привести к серьезным убыткам для компании.
OSINT предполагает чтение документации и руководств пользователя, чтобы получить информацию о том, как что-то работает, и какие функции можно использовать для получения дополнительной информации.
Полный список дефолтных данных для авторизации можно найти
Ссылка скрыта от гостей
.
Ниже скриншоты окон авторизации в панели управления:
Некоторые устройства предоставляют информацию о конфигурации сети, статистике или настройках без авторизации.
Одна из худших вещей - запуск VNC без аутентификации на устройствах ICS. Это то, чего не должно происходить вообще, и это явная ошибка из - за отсутствия знаний о собственной инфраструктуре. С точки зрения противника это легко использовать - он получает контроль над устройством сразу же, минуя все системы защиты. К слову, VNC работают на порту 5900.
Технологии и бренды, отображаемые на экране, рассказывают нам о технических характеристиках и способах использования устройств.
Геолокации
При разведке критически важной инфраструктуры, необходимо исключить устройства, не имеющие стратегического значения. К таким устройствам, к примеру, можно отнести систему управления фонтаном в парке.
Как это сделать?
Как я уже говорил ранее, от некоторых устройств, в ответе, можно увидеть информацию об их расположении, указанную при настройке. Как правило, никто не указывает ложные сведения.
Однако, если этой информации нет, при помощи геолокации по IP можно определить город, а за ним следует поиск нужного нам объекта по карте.
Приведу пару примеров.
Отрасль систем водоснабжения и водоотведения
Вы уже знаете, какие отрасли должны быть защищены с особой тщательностью. Одной из таких отраслей является отрасль систем водоснабжения и канализации. При нарушении её функционировании, доступ к питьевой воде может быть ограничен, что создаст серьезные проблемы для общества.
На скриншоте ниже, взглянув на параметр "station.name", можно понять, что мы имеем дело со станцией по очистке сточных вод. Расположение не указано.
Воспользуемся геолокацией по IP-адресу (я использую бесплатный сервис Maxmind). IP-геолокация указывает на 14 Summer Street в Берлингтоне, штат Вермонт, что в 1,5 милях от ближайшей станции очистки сточных вод.
Имея эту информацию, следующим шагом будет подготовка к физическому наблюдению и активному сбору информации путем сканирования ресурса и поиска дополнительных сведений о нём в сети.
Химическая отрасль
Местоположение объекта написано прямо в параметре "station.name".
«Название станции» содержит информацию о месте (Pearl River), штате (New-York) и названии организации (Pfizer).
Отрасль здравоохранения
Устройства в больницах дорогостоящие и, как правило, слабо защищенные. Любые перебои в их работе могут привести к гибели людей. На этих объектах, по дефолту, должно быть запрещено удаленное подключение. Одним из примеров неправильной конфигурации сектора здравоохранения является. Однако, в пьемонтской больнице все наоборот. Мало того, что устройство проиндексировано, так ещё и указано его расположение.
Зная точное его местоположение, мы можем увидеть, точна ли геолокация по IP.
В этом случае он находится в 3,5 милях от цели - 2151 West Spring Street.
Иногда на официальных сайтах можно найти внутренний план здания. Далее следует работа инсайдеров.
Энергетическая отрасль
Энергетическая отрасль очень специфична из-за высокой зависимости от других отраслей, таких как производственная отрасль или отрасль государственных учреждений. Без стабильного энергоснабжения, предприятия не смогут функционировать должным образом. Читая новости и отслеживая историю кибератак, могу сказать, что это одна из наиболее приоритетных отраслей - должно быть, каждый слышал об атаках на энергетические компании Украины.
Иногда случается так, что геолокация по IP не может быть точно определена - она просто указывает на столицу. Если нам больше не за что зацепиться, местоположение не определить.
Однако, в нашем случае, это не так. Просто ищем "Balley Power Plant" на картах.
Оборонно-промышленная отрасль
Есть много правительственных подрядчиков, которые работают с секретными документами, производят дорогостоящее оборудование или как - то сотрудничают другими способами. Но факт в том, что публикация каких - либо сведений может привести к угрозе национальной безопасности.
Однако, тут у нас классика.
Геолокация указывает на Clarks Summit, Пенсильвания. Ближайший объект Lockheed Martin находится в 11 милях.
С официального сайта мы можем узнать информацию о конкретном объекте и его роли.
Чтобы сравнить результаты Google Maps с реальным видом, мы можем зайти на официальный сайт Lockheed Martin и найти это здание.
