Uno dei più grandi aeroporti del mondo utilizza una rete protetta da air-gap per gestire operazioni interne che vanno dalla sicurezza alla logistica. Nonostante le caratteristiche di isolamento dell’aeroporto, numerosi dispositivi risultano infetti da malware in grado di acquisire e memorizzare dati in locale.
La sfide alla sicurezza
- Infrastruttura critica senza alcuna tolleranza in fatto di indisponibilità
- Carenza di misure di sicurezza nella rete
- Rete protetta da air-gap che univa dispositivi ad alto e basso livello di sicurezza
- Nessuna visibilità dei dispositivi entro l’air-gap
Un importante aeroporto internazionale, tra i più grandi hub di trasporto al mondo, che conta 70 milioni di passeggeri ogni anno e oltre 1.000 voli al giorno. L’aeroporto seguiva complessivamente ottimi protocolli di sicurezza. Aveva adottato una rete totalmente isolata per la realizzazione di numerosi servizi essenziali e per prevenire le infezioni da internet. La rete protetta da air-gap, però, creava un falso senso di sicurezza. Benché nessun dispositivo all’interno dell’air-gap disponesse di accesso a internet, ciascun segmento di rete al suo interno era collegato agli altri senza alcun controllo del traffico.
In più, la rete protetta da air-gap includeva dispositivi che erano fisicamente accessibili al pubblico, come i terminali informativi, che rendevano dei servizi essenziali esposti a un potenziale attacco. Inoltre, l’unico mezzo per ottenere informazioni dall’esterno verso l’interno era l’uso di unità USB, il che rendeva gli endpoint potenzialmente vulnerabili da malware inconsapevolmente introdotti dai dipendenti dell’aeroporto.
1.000 voli
L'aeroporto registra oltre 1.000 voli al giorno
70 milioni
Serve 70 milioni di passeggeri ogni anno
La visibilità fornita da QRadar EDR ha consentito di ricostruire l'incidente dall'inizio e di correggere in modo sicuro l'infezione, senza interrompere la continuità di servizio dell'aeroporto.
Panoramica della soluzione:
- L'aeroporto ha implementato il software IBM® Security QRadar EDR, che utilizza la tecnologia NanoOS per offrire una visibilità eccezionale su endpoint e infrastrutture.
- I motori comportamentali dell'EDR QRadar operano senza cali su reti isolate.
- Utilizzando potenti funzionalità di ricerca delle minacce, l'aeroporto può ricostruire e analizzare gli incidenti.
L'aeroporto ha utilizzato il software IBM Security QRadar EDR per eseguire una verifica dell'igiene della rete protetta da air-gap, in quanto alcuni endpoint apparivano rallentati nel funzionamento. Una volta implementato QRadar EDR su un segmento iniziale, i motori hanno rilevato attività potenzialmente malevole provenienti da un piccolo numero di dispositivi. L’analisi iniziale indicava, come punto di ingresso, un terminale pubblicamente accessibile ma, a una successiva analisi, è stato evidenziato un secondo punto di ingresso, costituito da un dispositivo presente nell’area check-in. Questi due vettori malevoli erano riusciti a diffondersi in un numero limitato di dispositivi, toccando diversi segmenti della rete.
La visibilità fornita dalla piattaforma QRadar EDR ha consentito di ricostruire l'incidente dall'inizio e di correggere in modo sicuro l'infezione, senza interrompere la continuità di servizio dell'aeroporto.
Analisi dell'origine del problema
L’implementazione iniziale ha evidenziato diverse anomalie comportamentali. Un’applicazione aveva installato un key logger in memoria, immettendolo in un’istanza nascosta del browser predefinito. In seguito, un ulteriore thread era riuscito a ripulire il disco alla ricerca di file Microsoft Word, file PDF, cookie e database dei browser. I dati erano stati raccolti in una cartella nascosta ed erano stati effettuati, a intervalli regolari, dei tentativi di inviarli presso un server C2 (command and control), pur non riuscendovi, grazie all’isolamento completo della rete dal mondo esterno.
Un'analisi più approfondita del vettore di infezione ha portato a risultati interessanti: il vettore era insolitamente ampio e conteneva una serie di meccanismi utili a bypassare non solo un antivirus locale, ma anche un'analisi sandbox. La dimensione faceva probabilmente parte di un tentativo di eludere un motore di emulazione antivirus, poiché tali sistemi solitamente emulano solo un piccolo blocco del binario completo.
Alla fine, sono stati identificati due vettori, uno installato su un terminale pubblico e un altro su un dispositivo che faceva parte del sensore della rete per la gestione dei check-in. Benché i due vettori si presentassero in modo diverso, specie in ragione della notevole quantità di istruzioni-spazzatura usate per evitare il rilevamento, il malware è parso essere lo stesso. In entrambi i casi, stava tentando di contattare lo stesso server C2 e si comportava nello stesso modo.
La ricostruzione dell’attacco
Quando QRadar EDR è implementato dopo la violazione, non tutti i dati sono disponibili e l’infrastruttura nativa usa solo una registrazione minima a livello di sistema operativo. Nonostante la quantità minima di dati, l’analisi di follow-up ha indicato che l’infezione era avvenuta cinque mesi prima e che erano stati infettati due endpoint a distanza di pochi giorni, da due diverse unità USB. Altri endpoint erano stati infettati da uno di questi vettori, specie a causa di password deboli che il malware tentava di far corrispondere, a intervalli casuali, presso ogni dispositivo cui riusciva a connettersi. Il malware era riuscito a raccogliere costantemente dati e non sembrava adottare alcun controllo di conservazione, né applicare limiti alla propria memorizzazione. Ogni otto ore, veniva tentato un collegamento al C2, operazione mai riuscita grazie all’air-gap.
L’analisi conclusiva ha mostrato come, nonostante il malware disponesse di funzionalità di autoreplicazione e fosse in grado di copiare automaticamente il proprio archivio su un’unità USB esterna, la funzionalità non era però abilitata. Probabilmente l’avvio della sottrazione era previsto manualmente.
Risposta e correzione
L'aeroporto ha utilizzato il modulo correttivo di QRadar EDR per ripulire i dispositivi infetti ed eliminare le cartelle di archiviazione identificate per evitare qualsiasi perdita di dati. L'interfaccia di ricerca delle minacce della soluzione si è dimostrata essenziale nel confermare l'assenza dello stesso vettore nel resto dell'intera infrastruttura, salvo che nei dispositivi già identificati. L’aeroporto ha inoltre condotto una ricerca comportamentale per assicurare che nessuna istanza del malware fosse in esecuzione, non rilevata, su altri dispositivi. Ha effettuato una ricerca tra tutti i comportamenti identificati, le minacce persistenti e i metodi di raccolta dei dati fino a confermare l'assenza di quel vettore e delle sue varianti dall'infrastruttura.
Il team di sicurezza locale, infine, ha fissato un insieme più rigido di regole per il controllo del traffico interno. La parte pubblica della rete è stata isolata dalle operazioni, e il team di sicurezza locale ha iniziato a eseguire un monitoraggio continuativo degli endpoint e campagne periodiche di individuazione delle minacce.
L'aeroporto ha utilizzato il modulo correttivo di QRadar EDR per ripulire i dispositivi infetti ed evitare perdite di dati. L'interfaccia di ricerca delle minacce della soluzione ha contribuito a confermare l'assenza del vettore dall'intera infrastruttura.
Un air-gap può fornire un alto grado di sicurezza, ma se non è implementato in modo rigoroso, può dare un falso senso di sicurezza. Nonostante i motivi dell’attacco siano rimasti non chiari, in quanto i dati sono stati raccolti ma mai sottratti, possiamo presumere con un certo grado di certezza che gli aggressori disponessero di una porta aperta nell’infrastruttura non solo per sottrarre dati ma anche per danneggiare attivamente l’operatività dell’aeroporto. Un semplice ransomware lanciato contro l’area check-in, ad esempio, avrebbe causato inevitabili ritardi; lo stesso attacco lanciato contro l’area della sicurezza avrebbe chiaramente potuto bloccare i voli e determinare gravi ripercussioni.
Legale
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, giugno 2023
IBM, il logo IBM, ibm.com e IBM QRadar sono marchi di International Business Machines Corp., registrati in diverse giurisdizioni del mondo. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web in "Copyright and trademark information" all'indirizzo ibm.com/trademark..
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. LE INFORMAZIONI FORNITE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ PER UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.