t0866-exploitation-of-remote-services-ics

# T0866 - Exploitation of Remote Services (ICS) ## Descrição A técnica **T0866 - Exploitation of Remote Services** faz parte do [[mitre-attack-for-ics|MITRE ATT&CK for ICS]] e descreve a exploração de vulnerabilidades em serviços remotos presentes em ambientes de Tecnologia Operacional ([[_sectors|OT]]) e Sistemas de Controle Industrial (ICS). Diferente da técnica análoga no framework Enterprise ([[t1210-exploitation-of-remote-services|T1210]]), esta é específica para protocolos industriais como Modbus, DNP3, OPC UA e MQTT, bem como interfaces de gerenciamento de PLCs, RTUs e HMIs. No contexto brasileiro, o risco é elevado: o Brasil é o maior operador de infraestrutura crítica da América Latina, com setores de [[_sectors|energia elétrica]], saneamento, [[_sectors|petróleo e gás]] e telecomúnicações fortemente dependentes de ambientes ICS/OT. Organizações como Petrobras, Eletrobras, SABESP e operadoras de transmissão elétrica constituem alvos de alto valor para grupos de ameaça com foco em sabotagem ou espionagem industrial. A convergência crescente entre redes IT e OT amplia dramaticamente a superfície de ataque: um adversário com acesso inicial à rede corporativa pode alcançar segmentos OT por movimentação lateral se não houver segmentação rigorosa. > [!warning] Relevância LATAM > O CERT.br registrou aumento de incidentes envolvendo redes OT no Brasil desde 2023, com destaque para tentativas de acesso não autorizado a sistemas SCADA em utilities regionais. A falta de segmentação IT/OT e o uso de protocolos legados sem autenticação são os fatores de risco mais prevalentes. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial Rede Corporativa IT]) --> B([Reconhecimento Enumeração de Ativos OT]) B --> C([Movimentação Lateral Cruzamento IT→OT]) C --> T0866([T0866 Exploração de Serviços Remotos ICS]):::highlight T0866 --> E([Controle de Controladores PLC/RTU]) E --> F([Impacto Físico Disrupção de Processos]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Enumeração de serviços industriais** O adversário mapeia a rede OT em busca de serviços remotos expostos: painéis web de HMI, interfaces OPC UA, brokers MQTT, portas Modbus (502/TCP) e DNP3 (20000/TCP). Ferramentas como Shodan identificam dispositivos ICS acessíveis pela internet; internamente, scanners de rede identificam o mapa de ativos. O grupo [[cyberav3ngers|CyberAv3ngers]] utiliza o malware [[iocontrol]] com comunicação MQTT sobre TLS (porta 8883) para localizar e inventariar controladores comprometidos. **Passo 2 - Exploração da vulnerabilidade ou abuso de protocolo** Com o alvo identificado, o adversário explora falhas conhecidas em firmwares de PLCs/RTUs, credenciais padrão não alteradas ou ausência de autenticação em protocolos legados (Modbus e DNP3 não possuem autenticação nativa). Em cenários mais sofisticados, o atacante abusa de funcionalidades legítimas: comandos de leitura/escrita de registradores Modbus podem alterar setpoints de processos industriais sem qualquer credencial. **Passo 3 - Movimentação lateral e persistência na rede OT** Após comprometer um dispositivo ICS, o adversário usa-o como pivô para acessar outros controladores no segmento OT. O [[iocontrol]] demonstrou capacidade de executar comandos arbitrários em controladores, criar backdoors persistentes e exfiltrar dados de telemetria industrial. Em cenários de sabotagem, comandos maliciosos são enviados diretamente a atuadores físicos, podendo causar interrupção de serviços ou danos a equipamentos. --- ## Detecção ### Fontes de Eventos Recomendadas | Fonte | Evento / Indicador | Prioridade | |---|---|---| | Firewall IT/OT | Tráfego não autorizado cruzando DMZ industrial (Modbus, DNP3, OPC UA) | Crítica | | OT IDS (Claroty / Nozomi) | Comandos de escrita inesperados em PLCs fora de jánela de manutenção | Crítica | | Broker MQTT | Conexões de clientes não inventariados; payloads cifrados anômalos na porta 8883 | Alta | | Syslog de HMI | Logins fora do horário operacional; acesso de IPs não autorizados | Alta | | NetFlow / SPAN OT | Varreduras internas em portas 502 (Modbus), 102 (S7), 20000 (DNP3) | Média | ### Regra Sigma - Detecção de Varredura de Portas ICS ```yaml title: Varredura de Protocolos Industriais em Rede OT id: t0866-ics-protocol-scan status: experimental description: > Detecta varreduras em portas características de protocolos ICS/OT que podem indicar reconhecimento prévio à exploração de T0866. logsource: category: firewall product: generic detection: selection: dst_port: - 502 # Modbus TCP - 102 # Siemens S7 - 20000 # DNP3 - 4840 # OPC UA - 1883 # MQTT (não cifrado) - 8883 # MQTT sobre TLS event_action: "allowed" timeframe: 5m condition: selection | count(dst_ip) by src_ip > 5 falsepositives: - Varreduras de inventário autorizadas por ferramentas OT legítimas - Scanners de segurança agendados (Nessus, Claroty, Nozomi) level: high tags: - attack.lateral_movement - attack.t0866 ``` --- ## Mitigação | Controle | Descrição | Aplicabilidade Brasil/LATAM | |---|---|---| | Segmentação IT/OT com DMZ industrial | Separar fisicamente redes corporativas e OT; implantar firewall industrial entre as zonas | Prioridade máxima para utilities, geração de energia e saneamento | | Inventário de ativos OT | Manter CMDB atualizado de todos os controladores, HMIs e dispositivos de campo | Obrigatório para conformidade ANEEL/ANP e frameworks como IEC 62443 | | Desativar serviços remotos desnecessários | Desabilitar acesso remoto a PLCs e RTUs que não precisem de gestão remota | Crítico em dispositivos com Modbus/DNP3 sem autenticação nativa | | Autenticação forte em HMIs | Implementar MFA para acesso remoto a painéis de controle e interfaces SCADA | Relevante para operadores com acesso remoto via VPN | | Monitoramento OT dedicado | Implementar solução de OT IDS (Claroty, Nozomi Networks, Dragos) com detecção de anomalias em protocolos industriais | Recomendado para infraestruturas críticas reguladas pela ANEEL, ANP e ANA | | Gestão de patches de firmware | Aplicar atualizações de firmware de PLCs/RTUs conforme disponibilidade do fabricante e jánelas de manutenção aprovadas | Coordenar com fabricantes Siemens, Schneider, Rockwell para PLCs presentes no Brasil | | Controle de acesso a portas MQTT | Configurar autenticação e ACLs no broker MQTT; bloquear conexões MQTT não autorizadas para IPs externos | Essencial para mitigar TTPs do [[iocontrol]] do [[cyberav3ngers\|CyberAv3ngers]] | --- ## Threat Actors e Software > [!danger] Principais Operadores desta Técnica ### [[cyberav3ngers|CyberAv3ngers]] Grupo afiliado ao IRGC (Irã), especializado em ataques a infraestrutura crítica. Utiliza o malware [[iocontrol]] com protocolo MQTT sobre TLS (porta 8883) para C2 em dispositivos ICS comprometidos. Documentado em ataques contra utilities de água e energia nos EUA e Israel. Embora sem operações confirmadas no Brasil, a tipologia de alvos (utilities municipais, saneamento) é diretamente aplicável ao contexto brasileiro. As [[campaigns|campanhas]] do grupo geralmente exploram credenciais padrão e vulnerabilidades em interfaces web de HMIs expostos à internet. ### Software Associado | Software | Tipo | Relevância | |---|---|---| | [[iocontrol]] | Malware ICS/OT | C2 via MQTT; controle de PLCs e RTUs comprometidos | | [[s0604-industroyer\|CrashOverride]] | Malware ICS | Exploração de protocolos IEC 104, IEC 61850 - relevante para setor elétrico | | [[TRISIS]] | Malware ICS/Safety | Ataque a sistemas Safety Instrumented Systems (SIS) - risco para refinarias e plantas petroquímicas | --- *Fonte: [MITRE ATT&CK for ICS - T0866](https://attack.mitre.org/techniques/T0866)*