La disponibilidad general de herramientas de intrusión y ataque específicas de ICS está ampliando el grupo de atacantes capaces de apuntar a redes de tecnología operativa (OT) y sistemas de control industrial (ICS).

“Como los ICS son un subdominio distinto de la tecnología informática y de la información, las intrusiones y ataques exitosos contra estos sistemas a menudo requieren conocimiento especializado, estableciendo un umbral más alto para ataques exitosos. Dado que las herramientas de intrusión y ataque a menudo son desarrolladas por alguien que ya tiene la experiencia, estas herramientas pueden ayudar a los actores de amenazas a evitar la necesidad de adquirir parte de esta experiencia por sí mismos, o pueden ayudarlos a obtener el conocimiento requerido más rápidamente ", investigan FireEye señalar.

Las herramientas también pueden ser útiles para actores experimentados que quieran ocultar su identidad o maximizar su presupuesto.

Herramientas de ataque ICS: ¿qué hay ahí fuera?

Los investigadores han estado rastreando una gran cantidad de herramientas de operación cibernética específicas de ICS disponibles públicamente durante un tiempo, y esto es lo que pueden decirnos sobre ellas:

• La mayoría de ellos se han desarrollado en los últimos diez años.
• La mayoría de las herramientas son independientes del proveedor
• No es inesperado que los desarrolladores se concentren principalmente en crear herramientas para apuntar a las soluciones más utilizadas por los fabricantes de equipos originales de ICS más grandes, como Siemens, Schneider Electric, GE, ABB, Digi International, Rockwell Automation y Wind River Systems.

Algunas herramientas son "independientes", otras vienen en forma de módulos para marcos de explotación populares.

Más de la mitad de las herramientas "independientes" están destinadas a aprender sobre dispositivos ICS conectados a una red y herramientas de explotación de software:

Para crear algunas de las herramientas, como el malware específico de ICS y ransomware, los creadores deben tener un alto grado de conocimiento sobre los sistemas de destino, así como las habilidades de codificación, algo que está fuera del alcance de muchos aspirantes a atacantes.

Módulos de exploits específicos de ICS

Existe una variedad de módulos de explotación específicos de ICS para el marco de explotación como Metasploit (gratis), Core Impact e Immunity Canvas (ambos comerciales), así como marcos de explotación específicos de ICS más recientes: Autosploit, Marco de explotación industrial (ICSSPLOIT), y el Marco de Explotación de Seguridad Industrial.

"Actualmente rastreamos cientos de módulos de explotación específicos de ICS relacionados con más de 500 vulnerabilidades totales, el 71 por ciento de ellos son potenciales días cero", anotaron los investigadores.

De los tres marcos no específicos de ICS, Metasploit tiene el menor número de exploits específicos de ICS, pero debido al hecho de que está disponible gratuitamente, estos exploits pueden representar actualmente el mayor peligro para los defensores.

Se dirigen principalmente a productos de estos proveedores:

"La conciencia sobre la proliferación de las herramientas de operación cibernética de ICS debería servir como un indicador de riesgo importante del panorama de amenazas en evolución", anotaron los investigadores.

"Las organizaciones que no prestan atención a las herramientas de operación cibernética de ICS corren el riesgo de convertirse en una fruta fácil para actores de amenazas sofisticados e inexpertos que exploran nuevas capacidades".

Fuente: https://www.helpnetsecurity.com/2020/03/24/ics-attack-tools/