• Piotr Chmielewski, autor |

ATT&CK MITRE jest publicznie dostępną bazą wiedzy o taktykach oraz technikach wykorzystywanych przez cyberprzestępców. Baza ta powstała na podstawie obserwacji i późniejszych analizach przeprowadzonych ataków. ATT&CK MITRE jest wykorzystywany do analizy ryzyka oraz tworzenia zaawansowanych modeli zagrożeń. Wszystko po to, aby bazując na globalnych doświadczeniach stale podnosić poziom bezpieczeństwa.

W ostatnim czasie upublicznione zostało podejście ATT&CK MITRE poświęcone systemom automatyki przemysłowej (ang. Industrial Control Systems - ICS). Każdy z nas z pewnością pamięta, skuteczne ataki na środowiska ICS, jak atak w 2015 roku na systemy sterowania stacji elektroenergetycznej na Ukrainie, które doprowadziły do wielogodzinnego „blackoutu”, czy kampanie NotPetya, która w 2018 roku doprowadziła do paraliżu systemów przemysłowych światowego potentata transportu kontenerowego. Powyżej wymienione dwa przypadki oraz setki innych, które na przestrzeni lat dotknęły infrastrukturą automatyki przemysłowej, przyczyniły się do powstania pierwszego podejścia „ATT&CK MITRE for Industrial Control Systems”.

W odniesieniu do modelu referencyjnego architektury bezpieczeństwa systemów ICS według ISA-99, framework ATT&CT MITRE poświęcony jest zagadnieniom poniżej poziomu 3, czyli począwszy od nadrzędnych systemów sterowania ICS, przez urządzenia sterujące, aż do ostatnich w procesie urządzeń wykonawczych. ATT&CK MITRE zawiera szczegóły dotyczące technik cyberataków na systemy ICS, oprogramowania wykorzystywanego przez atakujących, najpopularniejszych grup cyberprzestępców przemysłowych, jak również najpopularniejszych aktywów występujących w środowiskach ICS.

Wśród cyberataków na systemy ICS wyodrębnionych zostało 81 unikalnych technik. Każda z nich uzupełniona została o opis oraz przykłady wykorzystania w historii. Jedną z opisanych technik jest np. „Denial of View”, czyli zakłócenie widoczności. Poprzez wykorzystanie tej techniki, atakujący próbują zakłócić i tym samym uniemożliwić operatorowi nadzór nad środowiskiem ICS. Zakłócenie widoczności może być zrealizowane jako tymczasowa awaria komunikacji pomiędzy urządzeniem a źródłem sterowania. Kolejną z opisanych technik jest pobieranie nastaw sterowników PLC (ang. Programmable Logic Controller). Niniejsza aktywność wykonywana przez atakujących ma na celu poznanie szczegółów zaprogramowanej logiki działania sterownika, która następnie może zostać zmieniona i wgrana ponownie wywołując nieporządane zachowania sterownika.

Część poświęcona oprogramowaniu dotyczy 17. najpopularniejszych złośliwych oprogramowań wykorzystywanych przez cyberprzestępców na przestrzeni ostatnich lat. Wśród nich znajdują się opisy m.in. Triton – malware, który został po raz pierwszy wykorzystany w 2017 roku w zakładzie petrochemicznym w Arabii Saudyjskiej i umożliwił atakującym manipulację systemami kontroli infrastruktury krytycznej oraz Bad Rabbit, którego ofiarą stała się branża transportowa na Ukrainie. W kolejnej sekcji framework’u przedstawiono 10 grup hakerskich zorientowanych swoim działaniem na systemy ICS. Wśród opisanych grup znajdują się np. Lazarus, północno-koreańska grupa łączona z atakami na sektor energetyczny w Europie, Wschodniej Azji oraz Północnej Ameryce, czy APT33, która oceniana jest przez specjalistów jako grupa irańskiego pochodzenia odpowiedzialna za wiele ataków na systemy ICS w USA, Arabii Saudyjskiej i Korei Południowej.

Ostatnia sekcja ATT&CK MITRE umożliwia zrozumienie specyfiki systemów ICS, szczególnie dla osób nie związanych z nimi na co dzień, gdyż wyjaśnione zostały główne rodzaje aktywów. Wprowadzono takie pojęcia jak np. data historian, który pełni rolę centralnej bazy danych dla systemów przemysłowych, czy engineering workstation – stacje inżynierską, która służy do wprowadzania konfiguracji w sterownikach jak również wykorzystywana jest w celach utrzymania i diagnostyki.

Podsumowując, ATT&CK MITRE dla ICS jest zbiorem taktyk i technik stosowanych w rzeczywistych cyberatakach. Wykorzystanie zebranej tam wiedzy z pewnością pomoże specjalistom ds. bezpieczeństwa systemów przemysłowych w poznaniu i zrozumieniu kluczowych ryzyk oraz umożliwi im wykrycie słabości w zabezpieczanych systemach, co w konsekwencji przełoży się na wprowadzenie odpowiednich środków zaradczych i tym samym podniesienie poziomu bezpieczeństwa.

Piotr Chmielewski, konsultant, cyberbezpieczeństwo, dział usług doradczych