Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

lunes, 4 de agosto de 2014

Los SCADA siguen en la mira, ahora con HAVEX.

Los investigadores de seguridad han descubierto una nueva versión del malware Stuxnet, llamado como "Havex", que fue utilizado en una serie de ataques cibernéticos contra las organizaciones anteriores en el sector energético.
Como verán en la mayoría de los casos, el sector afectado es el sector energético. El famoso gusano Stuxnet, fue diseñado para sabotear las centrales nucleares iraní, ahora, la nueva versión está programado para afectar los softwares de los sistemas de conteol industrial de sistemas SCADA y de los ICS, con capacidades de desactivar dispositivos en represas hidroeléctricas, como también centrales nucleares e incluso desactivar redes eléctricas que utilicen estos tipos de dispositivos.
El denominado Backdoor: W32/Havex.A y sus variantes de nombres según el fabricante de antivirus, es un troyano de acceso remoto genérico y se ha detectado recientemente en una seria de empresas en Europa que desarrollan aplicaciones y software para SCADA e ICS.

Havex está equipado con un nuevo componente, cuyo propósito es recoger información de la red y los dispositivos conectados al aprovechar el estándar OPC (Open Platform de Comunicaciones). OPC es un estándar de comunicación que permite la interacción entre las aplicaciones SCADA basados ​​en Windows y el hardware de control de procesos. El malware escanea la red local para los dispositivos que responden a las peticiones de OPC para recopilar información acerca de los dispositivos de control industrial y luego envía esa información a su servidor de comando y control (C&C).
La inteligencia puesta en el desarrollo, ha preparado al Havex en una función de recoger información y enviarla a un servidor para que los desarrolladores de este gusano, puedan potenciar al Havex con funciones más precisas y lograr eficientizar el ataque.

Uno de los problemas que poseen las empresas que poseen estos tipos de dispositivos, es que aún usan SCADA con versiones de Windows muy ajustadas o bien que no soportan actualizaciones que pudieran mitigar algunas de estas cuestiones de seguridad. Lo que recomendamos, es que la linea de producción o aquella red que tenga SCADA tengan las siguientes protecciones:

1) La red LAN donde están los SCADA no tenga acceso a Internet,
2) Los equipos no sean accesibles desde la red LAN a  la de los usuarios que trabajan en la compañía.
3) Si deben transferir archivos, lo hagan a otra VLAN o en una red segmentada y utilicen servicios como el FTP o similar.
4)  No permitir el uso de pendrive en aquellos dispositivos SCADA que lo soporten. La transferencia de archivos a los mismos deben ser por un canal seguro.

Nos vemos en la próxima.