Microsoft alerta sobre aumento de ataques cibernéticos direcionados a dispositivos TO expostos à Web
A Microsoft enfatizou a necessidade de proteger dispositivos de tecnologia operacional (OT) expostos à Web após uma onda de ataques cibernéticos direcionados a esses ambientes desde o closing de 2023.
“Esses ataques repetidos contra dispositivos OT enfatizam a necessidade essential de melhorar a postura de segurança dos dispositivos OT e evitar que sistemas críticos se tornem alvos fáceis”, disse a equipe do Microsoft Menace Intelligence.
A empresa observou que um ataque cibernético a um sistema TO poderia permitir que atores mal-intencionados adulterassem parâmetros críticos usados em processos industriais, seja de forma programática por meio do controlador lógico programável (PLC) ou usando os controles gráficos da interface homem-máquina (HMI). resultando em mau funcionamento e interrupções do sistema.
Afirmou ainda que os sistemas OT muitas vezes carecem de mecanismos de segurança adequados, tornando-os maduros para a exploração por adversários e para a realização de ataques que são “relativamente fáceis de executar”, um facto agravado pelos riscos adicionais introduzidos pela ligação directa de dispositivos OT à Web.
Isso não apenas torna os dispositivos detectáveis por invasores por meio de ferramentas de varredura da Web, mas também torna-os uma arma para obter acesso inicial, aproveitando senhas de login fracas ou software program desatualizado com vulnerabilidades conhecidas.
Na semana passada, a Rockwell Automation emitiu um comunicado instando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não devem ser conectados à Web pública devido ao “aumento das tensões geopolíticas e da atividade cibernética adversária em todo o mundo”.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também lançou um boletim com seu próprio alerta sobre hacktivistas pró-Rússia que visam sistemas de controle industrial vulneráveis na América do Norte e na Europa.
“Especificamente, hacktivistas pró-Rússia manipularam HMIs, fazendo com que bombas de água e equipamentos sopradores excedessem seus parâmetros operacionais normais”, disse a agência. “Em cada caso, os hacktivistas maximizaram os pontos de ajuste, alteraram outras configurações, desligaram mecanismos de alarme e alteraram senhas administrativas para bloquear os operadores do WWS”.
A Microsoft disse ainda que o início da guerra Israel-Hamas em outubro de 2023 levou a um aumento nos ataques cibernéticos contra ativos de TO mal protegidos e expostos à Web, desenvolvidos por empresas israelenses, muitos deles conduzidos por grupos como Cyber Av3ngers, Troopers of Solomon, e Abnaa Al-Saada, afiliados ao Irã.
Os ataques, de acordo com Redmond, destacaram equipamentos de TO implantados em diferentes setores em Israel que foram fabricados por fornecedores internacionais, bem como aqueles que foram adquiridos de Israel, mas implantados em outros países.
Esses dispositivos TO são “principalmente sistemas TO expostos à Web com má postura de segurança, potencialmente acompanhados por senhas fracas e vulnerabilidades conhecidas”, acrescentou a gigante da tecnologia.
Para mitigar os riscos representados por tais ameaças, recomenda-se que as organizações garantam a higiene da segurança dos seus sistemas OT, especificamente reduzindo a superfície de ataque e implementando práticas de confiança zero para evitar que os atacantes se movam lateralmente dentro de uma rede comprometida.
O desenvolvimento ocorre no momento em que a empresa de segurança OT Claroty desvendou uma cepa de malware destrutiva chamada Fuxnet que o grupo de hackers Blackjack, suspeito de ser apoiado pela Ucrânia, supostamente usou contra a Moscollector, uma empresa russa que mantém uma grande rede de sensores para monitorar a água subterrânea e o esgoto de Moscou. sistemas de detecção e resposta a emergências.
BlackJack, que compartilhou detalhes do ataque no início do mês passado, descreveu o Fuxnet como “Stuxnet com esteróides”, com Claroty observando que o malware provavelmente foi implantado remotamente nos gateways do sensor alvo usando protocolos como SSH ou o protocolo do sensor (SBK) pela porta 4321.
Fuxnet vem com a capacidade de destruir irrevogavelmente o sistema de arquivos, bloquear o acesso ao dispositivo e destruir fisicamente os chips de memória NAND no dispositivo, escrevendo e reescrevendo constantemente a memória para torná-la inoperante.
Além disso, ele foi projetado para reescrever o quantity UBI para evitar a reinicialização do sensor e, em última análise, corromper os próprios sensores, enviando uma enxurrada de mensagens falsas do Meter-Bus (M-Bus).
“Os invasores desenvolveram e implantaram malware que tinha como alvo os gateways e excluiu sistemas de arquivos, diretórios, desativou serviços de acesso remoto, serviços de roteamento para cada dispositivo e reescreveu a memória flash, destruiu chips de memória NAND, volumes UBI e outras ações que interromperam ainda mais a operação desses gateways “, observou Claroty.
De acordo com dados partilhados pela empresa russa de segurança cibernética Kaspersky no início desta semana, a Web, os clientes de e-mail e os dispositivos de armazenamento removíveis surgiram como as principais fontes de ameaças aos computadores na infraestrutura de TO de uma organização no primeiro trimestre de 2024.
“Atores maliciosos usam scripts para uma ampla gama de objetivos: coletar informações, rastrear, redirecionar o navegador para um website malicioso e enviar vários tipos de malware (spy ware e/ou ferramentas silenciosas de mineração de criptografia) para o sistema ou navegador do usuário”, disse. disse. “Eles se espalham pela web e por e-mail.”
