Descontrol industrial, el enemigo invisible XI JORNADAS STIC CCN-CERT • Aarón Flecha Menéndez • s21sec • [email protected] www.ccn-cert.cni.es 2 XI JORNADAS STIC CCN-CERT Índice 1. Ataques recientes 2. Debilidades en la red 3. Defendiendo la red 4. DEMO www.ccn-cert.cni.es www.ccn-cert.cni.es 3 XI JORNADAS STIC CCN-CERT XI JORNADAS STIC CCN-CERT Ataques recientes www.ccn-cert.cni.es 4 XI JORNADAS STIC CCN-CERT EVOLUCIÓN BlackEnergy BlackEnergy última versión Segunda versión del Malware con Nuevas funcionalidades con características nuevas funcionalidades (rootkits, destructivas y de sabotaje (KillDisk). robo de datos, envío de spam, etc.) Ciberataque a Ucrania 23/12/2015 2007 2008 2010 2014 2015 DETECTADO BlackEnergy Lite y BlackEnergy Big Malware creado con el objetivo de Modificación del método de carga para realizar ataques DDoS. dificultar su detección Sus objetivos principales fueron Europa del Este y Norteamérica. Publicación de vulnerabilidades asociados a Office CVE-2014-4114 (Powerpoint) C&C detectados en Rusia CVE-2014-1761 (Word) www.ccn-cert.cni.es 5 XI JORNADAS STIC CCN-CERT msiexec.exe BlackEnergy Componente persistente Aplicación Aplicación troyanizada Componente sin infección Componente Instalador NO persistente falso persistente msiexec.exe msiexec.exe Documento Documento Componente troyanizado señuelo persistente Dropper malware Documento señuelo www.ccn-cert.cni.es 6 XI JORNADAS STIC CCN-CERT BlackEnergy Evolución sufrida Troyano APT Extensiones de archivos afectados Además de poseer un amplio conocimiento en desarrollo malware, también poseen conocimiento sobre Grupo de infraestructuras críticas (a.k.a. Electrum) cibercriminales (especialmente las existentes asociado a Rusia en el sector eléctrico) www.ccn-cert.cni.es 7 XI JORNADAS STIC CCN-CERT BlackEnergy https://www.certsi.es/blog/blackenergy-sistemas-criticos https://ics.sans.org/media/E- https://www.f- https://www.sentinelone.com/wp- ISAC_SANS_Ukraine_DUC_5.pdf secure.com/documents/996508/1030745/bla content/uploads/2017/06/BlackEnergy3_WP_0127 ckenergy_whitepaper.pdf 16_1c.pdf www.ccn-cert.cni.es 8 XI JORNADAS STIC CCN-CERT Dragonfly 2.0 https://www.symantec.com/blogs/threat-intelligence/dragonfly-energy-sector-cyber-attacks https://github.com/ryhanson/phishery Vectores de ataque utilizados: Motivaciones de los ataques: Spear Phishing Sabotaje Software troyanizado Obtención de información sensible Watering Hole www.ccn-cert.cni.es 9 XI JORNADAS STIC CCN-CERT Países 2014 Países 2017 Dragonfly 2.0 Italia EE.UU. Países 2011 RESUMEN EE.UU. Suiza EE.UU. Francia Turquía Canadá Sectores afectados Sectores afectados Sectores afectados Energía Energía Defensa Aviación www.ccn-cert.cni.es 10
Description: