• Os pesquisadores da CloudSEK analisaram os dados coletados pela XVIigil para descobrir a escala e o escopo das ameaças cibernéticas que visam empresas de petróleo e energia em todo o mundo.
• O O FBI divulgou recentemente um comunicado oficial, alertando contra a atividade contínua de agentes de ameaças patrocinados pelo estado russo contra o setor global de energia.

<

Principais descobertas

• A maioria das empresas de energia alvo de ataques cibernéticos está sediada na Europa, América do Sul/América Latina, Ásia-Pacífico e Oriente Médio.
• Os EUA foram o país mais atacado, seguidos pelo Brasil e pela França.
• Havia apenas uma postagem na dark web sobre uma empresa de energia na Rússia, apesar do fato de a Rússia ser um importante player no setor global de energia. E o petróleo e o gás respondem por 45% de sua receita orçamentária federal.
• Existe a possibilidade de que ataques cibernéticos a empresas de energia tenham sido cometidos pelos atores russos, uma vez que as regiões afetadas são os maiores concorrentes da Rússia no setor de energia.

Análise e atribuição

• A XVIigil registrou mais de 120 postagens em 2021 e 2022 (até março), em fóruns de crimes cibernéticos, relacionadas ao setor global de energia.
• Essas postagens anunciam principalmente acessos e bancos de dados pertencentes a empresas envolvidas nos setores de energia, petróleo, gás, energia e serviços públicos.

Tipo de dados publicados em fóruns subterrâneos em postagens relacionadas ao setor de petróleo e energia

• É importante notar que a maioria das empresas alvo está sediada na Europa, América do Sul/América Latina, Ásia-Pacífico e Oriente Médio, com apenas uma postagem sobre uma empresa de energia na Rússia, apesar do fato de o petróleo e o gás representarem 45% da receita do orçamento federal da Rússia.

[caption id="attachment_19276" align="alignnone” width="2048"] Gráfico de mapa mostrando o número regional de ataques cibernéticos registrados contra o setor de petróleo e energia [/caption]

• A Rússia desempenha um papel proeminente no mercado global de energia. É um dos três maiores produtores de petróleo bruto do mundo, competindo com a Arábia Saudita e os Estados Unidos pelo primeiro lugar.
• Nossa análise mostra que os EUA foram o país mais visado, seguidos pelo Brasil e pela França.

Advertência do FBI contra atores cibernéticos russos que visam o setor global de energia

• O Federal Bureau of Investigation (FBI) dos EUA divulgou recentemente um alerta oficial contra atores cibernéticos russos patrocinados pelo estado que visam o setor global de energia.
• O comunicado destacou a implantação do malware TRITON, que foi visto como alvo do sistema instrumentado de segurança de uma planta petroquímica baseada no Oriente Médio em 2017.
• O TRITON foi desenvolvido pelo Instituto Central Russo de Pesquisa Científica de Química e Mecânica (TsNIIKHM), que continua conduzindo atividades voltadas para o setor global de energia.
• Este aviso foi emitido à luz da acusação dos EUA contra um cidadão russo e um funcionário da TsNIIKHM, ambos envolvidos no ataque à Schneider Electric.

Ataque cibernético contra a Schneider Electric

• Em 24 de março de 2022, o malware TRITON lançou um ataque contra o sistema instrumentado de segurança (SIS) Triconex da Schneider Electric. Este módulo é responsável por iniciar os procedimentos de desligamento seguro em caso de emergência.
• Ao alterar o firmware na memória para incorporar uma nova programação, o vírus TRITON ataca os controladores de segurança Triconex Tricon, potencialmente causando danos às instalações, interrupção do sistema e até a morte se o SIS falhar em realizar procedimentos de desligamento seguros.
• A Schneider Electric corrigiu a vulnerabilidade (com o modelo Tricon 3008 v10.0-10.4), quando a versão 11.3 do controlador Tricon foi lançada em junho de 2018. No entanto, versões mais antigas do controlador ainda estão em uso e vulneráveis a ataques semelhantes.

Atores de ameaças proeminentes

• Das ameaças do setor de energia identificadas pela XVIGil, 5 grandes agentes de ameaças foram responsáveis por ~ 20% das ameaças.
• Entre os 5 agentes de ameaças, 3 atores conhecidos como “mont4na”, “babam” e “Kristina” foram responsáveis por mais vazamentos e acessos de dados do que qualquer outro agente de ameaças.

[caption id="attachment_19277" align="alignnone” width="1200"] Os 5 principais agentes de ameaças que visam o setor de petróleo e energia [/caption]

mont4na

• O conjunto de habilidades do ator está na exploração de vulnerabilidades de injeção de SQL principalmente em painéis de login. Anteriormente, a mont4na vendia ativamente vulnerabilidades e pedia aos compradores que buscassem o banco de dados. Mas, com o tempo, suas atividades incluem publicar acessos de login e bancos de dados em alguns casos. Embora seus alvos estejam espalhados pelo mundo, ele tem como alvo apenas empresas de renome.
• O ator ficou inativo por um período de quase 10 meses até o final de novembro de 2021. No entanto, depois disso, houve mais de cinquenta postagens. O ator também exclui seu anúncio quando a vulnerabilidade ou o acesso são vendidos.

babam

• Babam é um Corretor de acesso inicial (IAB) em um fórum russo de crimes cibernéticos, ativo na seção de leilões do fórum.
• O ator é especializado em vender diferentes tipos de acessos (incluindo Citrix, RDP, RDWeb, VPN) de todo o mundo.
• O histórico do ator e os tipos de acessos anunciados indicam que o ator geralmente extrai credenciais dos registros de malwares ou bots que roubam informações.
• O ator tinha uma grande reputação no fórum, mas devido a problemas relacionados ao pagamento de alguns compradores, eles foram banidos do fórum em 19 de outubro de 2021.

Kristina

• Kristina é um identificador usado por um grupo de ameaças que antes era conhecido como equipe de segurança Kelvin.
• O grupo usa fuzzing direcionado e explora vulnerabilidades comuns para atingir as vítimas. Sendo altamente qualificados no uso de ferramentas e com amplo conhecimento de várias explorações, eles compartilham sua lista de ferramentas e cargas úteis gratuitamente.
• Normalmente, eles têm como alvo as vítimas com tecnologias ou infraestrutura subjacentes comuns a qualquer momento.
• O grupo não foge da atenção e compartilha publicamente informações, como novas explorações, alvos e bancos de dados em fóruns de crimes cibernéticos e canais de comunicação como o Telegram.
• Recentemente, eles criaram seus próprios sites de vazamento de dados, onde outros agentes de ameaças podem entrar e compartilhar bancos de dados.

Visão geral do malware TRITON

• O malware TRITON é conhecido por ter como alvo os Sistemas Instrumentados de Segurança [SIS] para cometer falhas no hardware, causando danos e, eventualmente, falhas no sistema de segurança nas redes OT.
• No passado, o malware atacou os módulos do processador principal Triconex MP3008 da Schneider Electric que executavam as versões de firmware 10.0-10.4.
• O TRITON não é um malware genérico que tem como alvo a TI. Pelo contrário, é um malware especialmente projetado para ser executado em um hardware SIS muito específico da escolha do atacante.
• O malware é capaz de explorar vulnerabilidades de dia zero no firmware do dispositivo para realizar o aumento de privilégios a fim de concluir tarefas específicas.
• O TRITON é um malware operado por humanos. Os agentes da ameaça inicialmente violam a rede OT e obtêm acesso não autorizado ao controlador de segurança para implantar o malware.

Funcionamento do TRITON

• Em uma das campanhas descobertas pela CISA, os adversários implantaram vários ativos escritos em programas Python e PowerPC para atingir o Triconex MP3008 baseado em PowerPC.
• O agente da ameaça executa um executável Python após a entrada inicial que executa um injetor para modificar o firmware do controlador para anexar o implante TRITON na memória. O implante serve ao propósito do RAT.
• Ao enviar um comando conhecido (gatilho) para o controlador comprometido, o implante começa a ser executado, dando ao agente da ameaça controle total sobre o controlador.
• O módulo python principal tem uma implementação personalizada do protocolo TriStation usado para fazer conexões entre o sistema comprometido e o controlador de segurança Tricon.
• O malware TRITON tem os seguintes componentes:
  • Um programa executável é usado para programar um dispositivo Tricon sem o software TriStation Protocol.
  • Um código de shell nativo baseado em Power-PC que atua como um injetor que injeta o implante malicioso.
  • O implante malicioso é um código de shell nativo baseado em Power-PC capaz de realizar operações de gravação/leitura na memória do firmware e executar código em um endereço arbitrário dentro do firmware.
• O injetor tem uma lógica complexa que realiza várias verificações para explorar vulnerabilidades de 0 dias no firmware, para aumentar o privilégio de, eventualmente, gravar o implante no espaço de endereço do firmware.
• Depois que o injetor obtém as permissões do supervisor explorando o dia 0, ele copia o código do shell do implante no espaço de endereço do firmware e corrige a verificação de consistência da RAM/ROM para garantir que o controlador não falhe na modificação do firmware e faz alterações na entrada da tabela de pular de um comando específico do protocolo TriStation para que ele aponte para o endereço do implante copiado.
• Quando o malware anexa com sucesso o implante ao firmware do controlador, emitindo o comando modificado do protocolo Tristation, o agente da ameaça pode invocar o implante para reprogramar o controlador.
• As alterações feitas no firmware serão persistentes somente na memória e serão perdidas quando o dispositivo for reiniciado.

Impacto e mitigação dos ataques cibernéticos

ImpactoMitigação

• As informações vazadas poderiam ser usadas para obter acesso inicial à infraestrutura da empresa.
• Se os dados vazados não forem criptografados, isso poderá permitir a aquisição de contas.
• Senhas comumente usadas ou senhas fracas podem levar a ataques de força bruta.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware.

• Verifique possíveis soluções alternativas e patches enquanto mantém as portas abertas.
• Implemente uma política de senha forte e habilite a MFA (autenticação multifator) em todos os logins.
• Corrija endpoints vulneráveis e exploráveis.
• Monitore anomalias nas contas dos usuários, o que pode indicar possíveis aquisições de contas.

Indicadores de compromisso (IOCs)

SHA-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 200aa28b0eead1348cb6fda3b6c83ae01b47ad4840089247b058121e95732beb82e6311d0

Referências

• * https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://www.cisa.gov/uscert/ncas/alerts/aa22-083a
• https://www.aha.org/system/files/media/file/2022/03/fbi-pin-tlp-white-triton-malware-remains-threat-to-global-critical-infrastructure-industrial-control-systems-ics-3-24-22.pdf