Smart Grids y Ciberseguridad

Transcript

1. Smart Grids y ciberseguridad Fernando Tricas Garc´ ıa [email protected] Departamento

   de Inform´ atica e Ingenier´ ıa de Sistemas – Escuela de Ingenier´ ıa y Arquitectura – Instituto de Investigaci´ on en Ingenier´ ıa de Arag´ on – Universidad de Zaragoza Zaragoza, 3 de mayo de 2023 Smart Grids y ciberseguridad

2. ´ Indice Motivaci´ on Un poco de historia Ciberguerra Smart

   Grids y ciberseguridad Smart Grids y ciberseguridad

3. ¿Cu´ ando comenz´ o la guerra de Ucrania? Smart Grids

   y ciberseguridad

4. ¿Cu´ ando comenz´ o la guerra de Ucrania? https://jsis.washington.edu/news/ cyberattack-critical-infrastructure-russia-ukrainian-power-grid-attacks/

   Smart Grids y ciberseguridad

5. Ataques Prykarpattyaoblenergo Palabra clave: Hybrid Warfare Smart Grids y ciberseguridad

6. Poco a poco. . . 2015 ▶ Primavera: spear phishing

   contra el personal de TI y administradores de sistemas. Smart Grids y ciberseguridad

7. Poco a poco. . . 2015 ▶ Primavera: spear phishing

   contra el personal de TI y administradores de sistemas. ▶ Phishing: ▶ Spear Phishing: objetivos concretos (ataque dirigido). Smart Grids y ciberseguridad

8. Poco a poco. . . 2015 ▶ Primavera: spear phishing

   contra el personal de TI y administradores de sistemas. ▶ Documento Word, ‘Por favor active las macros’ ▶ −→ Infecci´ on + puerta trasera ¡Conseguido! −→ dentro de la red corporativa Smart Grids y ciberseguridad

9. Poco a poco. . . ▶ Siguientes meses: reconocimiento, exploraci´

   on y ‘cartograf´ ıa’. ▶ Robo de credenciales que los trabajadores utilizaban para conectarse a la red de SCADAs usando VPNs ▶ Reconfiguraci´ on del UPS1 de dos de los centros de control. ▶ No s´ olo los clientes sin luz, los operadores tambi´ en. ▶ Firmware malicioso para reemplazar los convertidores serie–Ethernet en m´ as de una docena de subestaciones. ▶ Env´ ıan informaci´ on del SCADA al sistema de control. Objetivo: evitar que los operadores recuperen el control. (Primera vez en un entorno industrial). ▶ Los convertidores son los mismos que se utilizan en muchas instalaciones ¡Estamos preparados! 1Uninterruptible Power Supply Smart Grids y ciberseguridad

10. Poco a poco. . . ▶ 23 de Diciembre: el

    ataque. ▶ entran en la red de los SCADAs ▶ deshabilitan los sistemas UPS. ▶ ataque de denegaci´ on de servicio a la red de telefon´ ıa de los clientes para que no puedan llamar e informar (TDOS). Adem´ as de la denegaci´ on, provocar el enfado de los clientes (operaciones psicol´ ogicas, manipulaci´ on de la opini´ on p´ ublica) ▶ empiezan a abrir interruptores. ▶ Los convertidores no se pueden recuperar, porque est´ an infectados y no sirven para detener el ataque. ▶ Malware KillDisk para borrar ficheros y dejar los computadores in´ utiles. ▶ Algunos de forma manual. ▶ Otros en autom´ atico. −→ Reconocimiento por parte de la compa˜ nia de que hab´ ıan sido atados. https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/ Smart Grids y ciberseguridad

11. BlackEnergy ▶ 2007 bots para generar DDOS ▶ 2010, BlackEnergy

    2 ▶ 2014 BlackEnergy 3 (con plugins) ▶ Ataque a trav´ es de un documento en Word o PowerPoint en un correo electr´ onico. ▶ Sigue la evoluci´ on . . . GreyEnergy Smart Grids y ciberseguridad

12. BlackEnergy Origen: Rusia ▶ BlackEnergy es un troyano que se

    utiliza para llevar a cabo ataques DDoS, ciberespionaje y ataques de destrucci´ on de informaci´ on. ▶ ICS 2, energ´ ıa, organismos gubernamentales y medios de comunicaci´ on en Ucrania ▶ Empresas ICS/SCADA de todo el mundo ▶ Empresas de energ´ ıa de todo el mundo 2Industrial Control Systems Smart Grids y ciberseguridad

13. Los ‘malos’ ▶ CIH (1998) de 20 a 80 millones

    de d´ olares. ▶ Melissa (1999) 300 a 600 millones de d´ olares ▶ ILOVEYOU (2000) de 10 a 15 billones de d´ olares ▶ Code Red (2001) 2.6 billones de d´ olares. ▶ SQL Slammer (2003), 500000 servidores. Poco da˜ no porque era s´ abado. ▶ Blaster (2003) ▶ SoBig (agosto 03) de 5 a 10 billones de d´ olares y m´ as de un mill´ on de ordenadores infectados. 1 mill´ on de copias de ´ el mismo en las primeras 24 horas. ▶ Bagle (2004) Muchas variantes ▶ Sasser (2004) suficientemente destructivo como para colgar algunas comunicaciones satelites de agencia francesas. Tambien consigui´ o cancelar vuelos de numeros compa˜ nias a´ ereas. No necesitaba acciones por parte del usuario para propagarse. Smart Grids y ciberseguridad

14. Evoluci´ on: botnets ‘La seguridad f´ ısica y la ciberseguridad

    se dan la mano: CCTV‘ https://www.incibe-cert.es/blog/seguridad-fisica-ciberseguridad Smart Grids y ciberseguridad

15. Ciberguerra: STUXNET 2005 (comienza el desarrollo) – 2010 (Entra en

    acci´ on) ▶ Israel y EEUU (no reconocido), operaci´ on Juegos Ol´ ımpicos. ▶ Ataque contra el programa nuclear de Ir´ an. ▶ Objetivo: los sistemas de adquisici´ on y control de supervisi´ on (SCADAa). ▶ Controladores L´ ogicos Programables (PLCb). ▶ Centrifugadoras de gas, utilizadas para separar material nuclear. aSupervisory Control And Data Acquisition bProgrammable Logic Controllers https://en.wikipedia.org/wiki/Gas_centrifuge Smart Grids y ciberseguridad

16. STUXNET ▶ Ataque a trav´ es de cuatro fallos de

    ‘d´ ıa cero’ (zero-day flaws). ▶ Ataque de ejecuci´ on remota RPC sin autentificar (MS08-067) ▶ Fallo en LNK (enlaces) para lanzar el c´ odigo del ataque. (MS10-046) ▶ Fallo en el servicio de colas de impresi´ on que permit´ ıa enviar y ejecutar c´ odigo malicioso en m´ aquinas remotas. ▶ Fallos de elevaci´ on de privilegios. ▶ M´ aquinas con Windows y programa de Siemens (Step7). ▶ Consigui´ o recolectar informaci´ on y forzar la destrucci´ on de las centrifugadoras haci´ endolas girar m´ as r´ apido. Smart Grids y ciberseguridad

17. Un mercado de fallos de d´ ıa cero https://zerodium.com/ Smart

    Grids y ciberseguridad

18. Un mercado de fallos de d´ ıa cero (m´ oviles)

    https://zerodium.com/ Smart Grids y ciberseguridad

19. STUXNET M´ aquinas desconectadas de la red. ▶ Un ‘rootkit’,

    responsable de ocultar el rastro. ▶ Se introduce a trav´ es de un ‘pendrive’ infectado. ▶ Modifica el c´ odigo para enviar instrucciones inesperadas al PLC, devolviendo valores normales a los usuarios. Smart Grids y ciberseguridad

20. STUXNET M´ aquinas desconectadas de la red. ▶ Un ‘rootkit’,

    responsable de ocultar el rastro. ▶ Se introduce a trav´ es de un ‘pendrive’ infectado. ▶ Modifica el c´ odigo para enviar instrucciones inesperadas al PLC, devolviendo valores normales a los usuarios. Later. . . https://web.archive.org/web/20120104215049/http: //www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99 Smart Grids y ciberseguridad

21. Un experimento 2016 University of Illinois. Smart Grids y ciberseguridad

22. Un experimento Smart Grids y ciberseguridad

23. Un experimento ‘Does dropping usb drives really work?’ Blackhat USA

    2016 https://www.tripwire.com/state-of-security/ does-dropping-malicious-usb-sticks-really-work-yes-worryingly-well Matthew Tischer, Zakir Durumeric, Sam Foster, Sunny Duan, Alec Mori, Elie Bursztein, Michael Bailey ‘Users Really Do Plug in USB Drives They Find’. Black Hat 2016. https://zakird.com/papers/usb.pdf Smart Grids y ciberseguridad

24. Para pensar... ▶ Gobiernos como autores de malware ▶ Mercados

    ▶ D´ ıa cero ▶ ¿Ataque o defensa? Smart Grids y ciberseguridad

25. RansomWare WannaCry, viernes, 12 de mayo de 2017. Smart Grids

    y ciberseguridad

26. Ataque a SolarWinds 2019 – 2020 ▶ Sistema Orion IT

    de monitorizaci´ on y gesti´ on de software (redes e infraestructura). ▶ Acceso privilegiado a los sistemas (acceso al registro de actividad y de prestaciones). ▶ Una componente de vigilancia (monitoring) que permite abrir una puerta trasera (backdoor). ▶ Afectados: Homeland Security, State, Commerce, Treasury, FireEye, Microsoft, Intel, Cisco and Deloitte https://www.wired.com/story/the-untold-story-of-solarwinds-the-boldest-supply-chain-hack-ever/ Ataque a la cadena de suministro Smart Grids y ciberseguridad

27. Consecuencias ‘Software Bill of Materials’, (SBOM), orden ejecutiva firmada por

    Joe Biden en mayo de 2021. https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity/ software-security-supply-chains-software-1 Smart Grids y ciberseguridad

28. Colonial pipeline. Ataques a infraestructuras cr´ ıticas. Mayo 2021 ▶

    Sistema de tuber´ ıas para transportar gasolina, di´ esel ... ▶ Desde Houston, Texas hasta el Sudeste de EEUU, NY, .... ▶ RansomWare ▶ La empresa tuvo que detener todas las operaciones para detener el ataque. https://www.reuters.com/technology/ colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/ Smart Grids y ciberseguridad

29. Colonial pipeline ▶ Pagaron el rescate (75 bitcoin o $4.4

    millones) ▶ La herramienta era tan lenta que los propios recursos de la empresa fueron m´ as eficaces. ▶ Declaraci´ on de estado de emergencia en 17 estados. ▶ Ataque a la infraestructura de facturaci´ on (no fallo en las tuber´ ıas). ▶ Tambi´ en robo de datos ▶ Fallos en productos de Microsoft ▶ Fallos en productos de SolarWinds ▶ Fallos en productos de VMware DarkSide ¿Rusia? Smart Grids y ciberseguridad

30. Algunos factores de riesgo en Smart Grids ▶ Falta de

    estandarizaci´ on. ▶ Falta de atenci´ on al problema ▶ Ciberseguridad vs privacidad ▶ Seguridad por dise˜ no ▶ Se ha visto como algo adicional ‘Smart Grid Security’ (European Network and Information Security Agency, enisa, 2012) Smart Grids y ciberseguridad

31. Ataques a Smart Grids Tala Talaei Khoei, Hadjar Ould Slimane,

    Naima Kaabouch, ‘A Comprehensive Survey on the Cyber-Security of Smart Grids: Cyber-Attacks, Detection, Countermeasure Techniques, and Future Directions’. Smart Grids y ciberseguridad

32. Niveles de comunicaci´ on Smart Grids y ciberseguridad

33. Seguimos con la complejidad Mohammad Kamrul Hasan, AKM Ahasan Habib,

    Zarina Shukur, Fazil Ibrahim, Shayla Islam, Md Abdur Razzaque, ‘Review on cyber-physical and cyber-security system in smart grid: Standards, protocols, constraints, and recommendations’ In Journal of Network and Computer Applications Volume 209, January 2023, 103540. https://doi.org/10.1016/j.jnca.2022.103540 Smart Grids y ciberseguridad

34. Riesgos y preocupaciones Smart Grids y ciberseguridad

35. Preocupaci´ on ‘Infrastructure cybersecurity: the U.S. electric grid’ https://www.rpc.senate.gov/policy-papers/infrastructure-cybersecurity-the-us-electric-grid Smart

    Grids y ciberseguridad

36. Conclusiones ▶ Un mercado ▶ Riesgos muy diversos y a

    muchos niveles ▶ Infraestructuras cr´ ıticas ▶ Preocupaci´ on, regulaci´ on... ▶ ‘If It’s Smart, It’s Vulnerable’ (Mikko Hypponen. Agosto 2022) Smart Grids y ciberseguridad

37. ¡Gracias! [email protected] @fernand0 https://webdiis.unizar.es/~ftricas/ http://www.flickr.com/photos/atalaya/28400415/ Smart Grids y ciberseguridad